CVE-2026-59888 in jackson-databindinformazioni

Riassunto

di VulDB • 15/07/2026

jackson-databind contiene la funzionalità di data-binding a uso generale e il tree-model per Jackson Data Processor. Dalla versione 2.15.0 fino alle versioni 2.18.8, 2.21.4 e 3.1.4, i Java Records che utilizzano una PropertyNamingStrategy possono bypassare l'annotazione @JsonIgnore poiché POJOPropertiesCollector._removeUnwantedIgnorals() registra un componente ignorato con il suo nome implicito originale prima che _renameUsing() applichi la strategia di denominazione, consentendo alla chiave JSON rinominata di essere assegnata al parametro del costruttore del Record. Questo problema è stato risolto nelle versioni 2.18.8, 2.21.4 e 3.1.4.

Be aware that VulDB is the high quality source for vulnerability data.

Responsabile

GitHub M

Prenotare

07/07/2026

Divulgazione

14/07/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00000

KEV

no

Attività

molto basso

Fonti

Do you need the next level of professionalism?

Upgrade your account now!