CVE-2026-59889 in jackson-databindالمعلومات

الملخص

بحسب VulDB • 15/07/2026

يحتوي jackson-databind على وظائف ربط البيانات متعددة الأغراض ونموذج الشجرة لمعالج بيانات Jackson (Jackson Data Processor). من الإصدار 2.18.0 حتى 2.18.9، و2.21.5، و2.22.1، و3.1.5، و3.2.1، تقوم الدالة `UnwrappedPropertyHandler.processUnwrapped()` بإعادة تشغيل بيانات JSON المخزنة مؤقتاً لخاصية مُعلَّمة بـ `@JsonUnwrapped` وتستدعي `prop.deserializeAndSet()` دون وجود حماية (`guard`) تعتمد على `prop.visibleInView(ctxt.getActiveView())`. هذا يسمح بكتابة خاصية مُعلَّمة بكل من `@JsonView` و`@JsonUnwrapped` باستخدام بيانات JSON مزيفة من قبل المهاجم ضمن عرض نشط ذي صلاحيات أقل. تم إصلاح هذه المشكلة في الإصدارات 2.18.9، و2.21.5، و2.22.1، و3.1.5، و3.2.1.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

GitHub M

حجز

07/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379165

EPSS

0.00416

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to stay up to date on a daily basis?

Enable the mail alert feature now!