CVE-2017-17485 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Jackson-databind 反序列化漏洞。攻击者通过构造恶意 JSON，绕过黑名单机制，触发远程代码执行（RCE）。后果：服务器被完全控制。

🔍 **缺陷点**：`ObjectMapper.readValue()` 方法处理不当。虽然存在黑名单，但被恶意制作的 JSON 输入成功绕过，导致不安全反序列化。

📦 **受影响组件**：FasterXML jackson-databind。具体版本：**2.8.10 及之前**，以及 **2.9.x 至 2.9.3**。

💀 **黑客能力**：远程攻击者。无需本地访问，通过发送恶意 JSON 即可执行任意代码。权限：通常等同于应用运行权限，可窃取数据或控制服务器。

🚪 **利用门槛**：中等。需要能向目标应用发送 JSON 数据（如 API 接口）。无需认证（除非应用本身有鉴权），但需绕过黑名单逻辑。

💣 **现成 Exp**：有。GitHub 上存在多个 PoC 仓库（如 rootsecurity, tafamace, x7iaob 等），证明漏洞可被利用。

🔎 **自查方法**：检查项目中 `pom.xml` 或 `build.gradle`。搜索依赖 `jackson-databind`。确认版本号是否在 **2.8.10** 或 **2.9.0-2.9.3** 范围内。

🛡️ **官方修复**：已修复。Red Hat (RHSA-2018:0480 等) 和 Debian (DSA-4114) 均发布了安全公告和补丁。建议升级至安全版本。

⚠️ **临时规避**：若无法升级，需严格校验输入 JSON。禁用不安全反序列化类型。使用 `ObjectReader` 限制允许反序列化的类。

🔥 **优先级**：**高**。RCE 漏洞，影响广泛，PoC 公开。建议立即扫描并升级受影响版本，防止服务器沦陷。