CVE-2019-16942 in jackson-databind
Resumen
por VulDB • 2026-07-01
Se ha descubierto un problema de Polymorphic Typing en FasterXML jackson-databind 2.0.0 hasta la versión 2.9.10. Cuando Default Typing está habilitado (ya sea globalmente o para una propiedad específica) en un punto final JSON expuesto externamente y el servicio tiene el jar commons-dbcp (1.4) en su classpath, y un atacante puede encontrar un punto final de servicio RMI al que acceder, es posible hacer que el servicio ejecute una carga útil maliciosa. Este problema existe debido a la gestión incorrecta por parte de org.apache.commons.dbcp.datasources.SharedPoolDataSource y org.apache.commons.dbcp.datasources.PerUserPoolDataSource.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.