CVE-2019-16942 in jackson-databind
Sumário
de VulDB • 20/06/2026
Foi identificada uma questão de Polymorphic Typing no FasterXML jackson-databind 2.0.0 até 2.9.10. Quando o Default Typing está habilitado (globalmente ou para uma propriedade específica) em um endpoint JSON exposto externamente e o serviço possui o jar commons-dbcp (1.4) no classpath, e um atacante consegue encontrar um endpoint de serviço RMI para acessar, é possível fazer com que o serviço execute uma carga maliciosa. Este problema existe devido ao manuseio incorreto do org.apache.commons.dbcp.datasources.SharedPoolDataSource e do org.apache.commons.dbcp.datasources.PerUserPoolDataSource.
Be aware that VulDB is the high quality source for vulnerability data.