CVE-2019-14893

**Nome do software vulnerável e versões afetadas:

Versões do FasterXML jackson-databind anteriores à 2.9.10 e à 2.10.0

Descrição:

Uma falha no FasterXML jackson-databind permite a desserialização polimórfica de objetos maliciosos usando o gadget xalan JNDI quando utilizado com métodos de tratamento de tipos polimórficos, como enableDefaultTyping(), ou quando @JsonTypeInfo está usando Id.CLASS ou Id.MINIMAL CLASS. Isso poderia permitir que um invasor executasse código arbitrário. O problema está relacionado à restauração de estruturas de dados não confiáveis na memória, o que pode ser explorado por um invasor remoto.

Recomendações:

Para versões anteriores à 2.9.10 e 2.10.0, considere atualizar para a versão 2.9.10 ou 2.10.0 ou posterior para resolver o problema.

Como solução temporária, considere desativar o uso de enableDefaultTyping() e @JsonTypeInfo com Id.CLASS ou Id.MINIMAL CLASS até que um patch esteja disponível.

Restrinja o uso de ObjectMapper.readValue a fontes confiáveis para minimizar o risco de exploração.