CVE-2020-14061

**Nome do software vulnerável e versões afetadas:

FasterXML jackson-databind versões 2.x anteriores à 2.9.10.5

Descrição:

O problema está relacionado ao mecanismo de desserialização na biblioteca Jackson-databind. Ele pode ser explorado por um invasor remoto para executar código arbitrário. A vulnerabilidade está associada à interação entre os gadgets de serialização e a tipagem, particularmente com certas fábricas de conexão Oracle JMS, incluindo oracle.jms. AQjmsQueueConnectionFactory, oracle.jms.AQjmsXATopicConnectionFactory, oracle.jms.AQjmsTopicConnectionFactory, oracle.jms.AQjmsXAQueueConnectionFactory e oracle.jms.AQjmsXAConnectionFactory.

Recomendações:

Para as versões 2.x do FasterXML jackson-databind anteriores à 2.9.10.5, atualize para a versão 2.9.10.5 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o uso das fábricas de conexão Oracle JMS afetadas até que um patch seja aplicado.