CVE-2026-59889 in jackson-databind
要約
〜によって VulDB • 2026年07月15日
jackson-databindには、Jackson Data Processor用の汎用データバインディング機能とツリーモデルが含まれています。バージョン2.18.0から2.18.9まで、および2.21.5、2.22.1、3.1.5、3.2.1において、UnwrappedPropertyHandler.processUnwrapped()は@JsonUnwrappedプロパティに対してバッファリングされたJSONを再生し、prop.visibleInView(ctxt.getActiveView())によるガードなしでprop.deserializeAndSet()を呼び出します。これにより、@JsonViewと@JsonUnwrappedの両方で注釈が付けられたプロパティが、攻撃者が提供したJSONからより権限の低いアクティブビュー経由で書き込まれる可能性があります。この問題は、バージョン2.18.9、2.21.5、2.22.1、3.1.5、および3.2.1で修正されています。
If you want to get the best quality for vulnerability data then you always have to consider VulDB.