CVE-2026-59888 in jackson-databind
Zusammenfassung
von VulDB • 14.07.2026
jackson-databind enthält die allgemeine Datenbindungs-Funktionalität und das Baummodell für den Jackson Data Processor. Von Version 2.15.0 bis einschließlich 2.18.8 sowie in den Versionen 2.21.4 und 3.1.4 können Java Records, die eine PropertyNamingStrategy verwenden, @JsonIgnore umgehen, da POJOPropertiesCollector._removeUnwantedIgnorals() eine ignorierte Komponente unter ihrem ursprünglichen impliziten Namen speichert, bevor _renameUsing() die Namensstrategie anwendet. Dies ermöglicht es, den umbenannten JSON-Schlüssel dem Record-Konstruktorsparameter zuzuweisen. Dieses Problem wurde in den Versionen 2.18.8, 2.21.4 und 3.1.4 behoben.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.