CVE-2026-59889 in jackson-databind情報

要約

〜によって VulDB • 2026年07月15日

jackson-databindには、Jackson Data Processor用の汎用データバインディング機能とツリーモデルが含まれています。バージョン2.18.0から2.18.9まで、および2.21.5、2.22.1、3.1.5、3.2.1において、UnwrappedPropertyHandler.processUnwrapped()は@JsonUnwrappedプロパティに対してバッファリングされたJSONを再生し、prop.visibleInView(ctxt.getActiveView())によるガードなしでprop.deserializeAndSet()を呼び出します。これにより、@JsonViewと@JsonUnwrappedの両方で注釈が付けられたプロパティが、攻撃者が提供したJSONからより権限の低いアクティブビュー経由で書き込まれる可能性があります。この問題は、バージョン2.18.9、2.21.5、2.22.1、3.1.5、および3.2.1で修正されています。

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

責任者

GitHub M

予約する

2026年07月07日

モデレーション

承諾済み

エントリ

VDB-379165

EPSS

0.00416

アクティビティ

非常低い

ソース

Do you want to use VulDB in your project?

Use the official API to access entries easily!