【漏洞通告】

	2月19日，NVD发布安全通告披露了jackson-databind由JNDI注入导致的远程代码执行
漏洞（CVE-2020-8840），CVSS评分为9.8 。受影响版本的jackson-databind中由于缺少
某些xbean-reflect/JNDI黑名单类，如org.apache.xbean.propertyeditor.JndiConverter，
可导致攻击者使用JNDI注入的方式实现远程代码执行。目前厂商已发布新版本完成漏洞修复，
请相关用户及时升级进行防护。

由于项目中用到的Springboot版本为2.1.3，自带的jackson版本为2.9.8，低于安全版本
2.9.10.6，所以需要升级jackson的版本。

修改Springboot中jackson版本

在项目的pom.xml中properties标签下添加jackson.version属性

<jackson.version>2.11.0</jackson.version>

若只想修改jackson-databind版本，添加jackson.version.databind属性即可

<jackson.version.databind>${jackson.version}</jackson.version.databind>

定位过程

只需要在自己的pom.xml中重新定义依赖对应的版本号，进行覆盖即可。