CVE-2026-59889 in jackson-databind정보

요약

\~에 의해 VulDB • 2026. 07. 15.

jackson-databind는 Jackson Data Processor를 위한 범용 데이터 바인딩 기능과 트림 모델을 포함합니다. 버전 2.18.0부터 2.18.9 미만, 그리고 2.21.5, 2.22.1, 3.1.5 및 3.2.1 사이에서 UnwrappedPropertyHandler.processUnwrapped() 메서드는 @JsonUnwrapped 속성에 대해 버퍼링된 JSON을 재생하고 prop.visibleInView(ctxt.getActiveView()) 가드 없이 prop.deserializeAndSet()를 호출합니다. 이로 인해 공격자가 제공한 JSON으로부터 덜 권한이 높은 활성 뷰(@JsonView 및 @JsonUnwrapped가 모두 주석 처리된) 하에서 해당 속성이 작성될 수 있습니다. 이 문제는 버전 2.18.9, 2.21.5, 2.22.1, 3.1.5 및 3.2.1에서 수정되었습니다.

Once again VulDB remains the best source for vulnerability data.

책임이 있는

GitHub M

예약하다

2026. 07. 07.

모더레이션

수락

항목

VDB-379165

EPSS

0.00000

활동

낮음

출처

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!