这是你需要做的：
使用一个基于web的反编译器（www.javadecompilers.com），您可以获得jar文件jackson-all-1.9.11.jar的所有源代码。（这可以在任何版本的Jackson上工作）

The fixes are fairly simple!

In the 1.9.x version the following 2 files allow XML entity injection.
org/codehaus/jackson/xc/DomElementJsonDeserializer.java
org/codehaus/jackson/map/ext/DOMDeserializer.java

When you update the jar be sure to update the additional nested inner classes.

org/codehaus/jackson/map/ext/DOMDeserializer.class
org/codehaus/jackson/map/ext/DOMDeserializer$DocumentDeserializer.class
org/codehaus/jackson/map/ext/DOMDeserializer$NodeDeserializer.class
org/codehaus/jackson/xc/DomElementJsonDeserializer.class

In the  2.x.x version the package name has changed.
These files need to be modified

com/fasterxml/jackson/databind/ext/DOMDeserializer.java
com/fasterxml/jackson/dataformat/xml/XmlFactory.java

在1.9版本中，停止实体注入的解决方案是向这两个文件中添加以下行。

.setFeature(javax.xml.XMLConstants.FEATURE_SECURE_PROCESSING, true);

这里是将其添加到反编译代码的位置，然后重新编译文件，并更新jar文件。

public abstract class DOMDeserializer<T>
extends FromStringDeserializer<T> {
static final DocumentBuilderFactory _parserFactory;
static {
    _parserFactory = DocumentBuilderFactory.newInstance();

    /* CVE-2016-3720 */
    try {
        _parserFactory.setFeature(javax.xml.XMLConstants.FEATURE_SECURE_PROCESSING, true);
    } catch (ParserConfigurationException e) {
        e.printStackTrace();
    }
    // Move this line from the static block lower in the file.
    _parserFactory.setNamespaceAware(true);

}

 public DomElementJsonDeserializer() {
    super(Element.class);
    try {
        DocumentBuilderFactory bf = DocumentBuilderFactory.newInstance();
        bf.setNamespaceAware(true);
        /* CVE-2016-3720 */ 
        bf.setFeature(javax.xml.XMLConstants.FEATURE_SECURE_PROCESSING, true);

        this.builder = bf.newDocumentBuilder();
    }
    catch (ParserConfigurationException e) {
        throw new RuntimeException();
    }
}

在2.x版本中，您需要对该文件进行稍微不同的修改。

xmlIn.setProperty("javax.xml.stream.isSupportingExternalEntities", Boolean.FALSE);

package com.fasterxml.jackson.dataformat.xml;

public class XmlFactory
extends JsonFactory {

   protected XmlFactory(ObjectCodec oc, int xpFeatures, int xgFeatures, XMLInputFactory xmlIn, XMLOutputFactory xmlOut, String nameForTextElem) {
    super(oc);
    this._xmlParserFeatures = xpFeatures;
    this._xmlGeneratorFeatures = xgFeatures;
    this._cfgNameForTextElement = nameForTextElem;
    if (xmlIn == null) {
        xmlIn = XMLInputFactory.newInstance();
        xmlIn.setProperty("javax.xml.stream.isSupportingExternalEntities", Boolean.FALSE);
    }

希望这对你有帮助。

即使在修复了这些问题之后，OWasp依赖性检查工具仍然报告jar文件易受攻击。我认为在应用了修复程序之后，它有一个误报。
请注意，OWASP DC不会扫描代码。它使用证据（如JAR的名称）将其与NVD中的数据相关联，因此，如果JAR的名称指示存在漏洞的版本，它将标识该JAR为存在漏洞的。当您创建了一个Assert已解决漏洞的JAR时，可以使用包含以下内容的抑制文件：

<?xml version="1.0" encoding="UTF-8"?>
<suppressions xmlns="https://www.owasp.org/index.php/OWASP_Dependency_Check_Suppression">
  <suppress>
    <notes>There I fixed that</notes>
    <sha1>YOUR-JAR-SHA1-HERE</sha1>
    <cve>CVE-2016-3720</cve>
  </suppress>
</suppressions>

请注意，如果您已经在使用抑制档案，则只需将新的<suppress>记录加入至既有档案。

Jackson1的源代码可以在https://github.com/FasterXML/jackson-1上找到。我创建了一个pull请求：https://github.com/FasterXML/jackson-1/pull/1

关于第二部分的一个注意事项：不需要修改源代码，可以传递显式示例化的XmlFactory（通过XmlMapper）。构造函数从2.4开始就可用。这避免了必须管理修改后的jar。

我们可以用它来解决易受攻击问题。

repositories {
    maven {
      url "https://packages.atlassian.com/maven-3rdparty"
    }
  }

 implementation group: 'org.codehaus.jackson', name: 'jackson-mapper-asl', version: '1.9.14-atlassian-6'