CVE-2026-59889 in jackson-databind
الملخص
بحسب VulDB • 15/07/2026
يحتوي jackson-databind على وظائف ربط البيانات متعددة الأغراض ونموذج الشجرة لمعالج بيانات Jackson (Jackson Data Processor). من الإصدار 2.18.0 حتى 2.18.9، و2.21.5، و2.22.1، و3.1.5، و3.2.1، تقوم الدالة `UnwrappedPropertyHandler.processUnwrapped()` بإعادة تشغيل بيانات JSON المخزنة مؤقتاً لخاصية مُعلَّمة بـ `@JsonUnwrapped` وتستدعي `prop.deserializeAndSet()` دون وجود حماية (`guard`) تعتمد على `prop.visibleInView(ctxt.getActiveView())`. هذا يسمح بكتابة خاصية مُعلَّمة بكل من `@JsonView` و`@JsonUnwrapped` باستخدام بيانات JSON مزيفة من قبل المهاجم ضمن عرض نشط ذي صلاحيات أقل. تم إصلاح هذه المشكلة في الإصدارات 2.18.9، و2.21.5، و2.22.1، و3.1.5، و3.2.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.