CVE-2026-59889 in jackson-databind
Sumário
de VulDB • 15/07/2026
O jackson-databind contém a funcionalidade de data-binding e o tree-model para Jackson Data Processor. Das versões 2.18.0 até 2.18.9, bem como nas versões 2.21.5, 2.22.1, 3.1.5 e 3.2.1, a função UnwrappedPropertyHandler.processUnwrapped() reprocessa o JSON em buffer para uma propriedade @JsonUnwrapped e chama prop.deserializeAndSet() sem a proteção condicional prop.visibleInView(ctxt.getActiveView()), permitindo que uma propriedade anotada com tanto @JsonView quanto @JsonUnwrapped seja escrita a partir de um JSON fornecido pelo atacante sob uma view ativa menos privilegiada. Este problema foi corrigido nas versões 2.18.9, 2.21.5, 2.22.1, 3.1.5 e 3.2.1.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.