CVE-2026-59889 in jackson-databind
Сводка
по VulDB • 16.07.2026
jackson-databind содержит функциональность привязки данных общего назначения и древовидную модель для Jackson Data Processor. В версиях от 2.18.0 до 2.18.9 (включительно), а также в версиях 2.21.5, 2.22.1, 3.1.5 и 3.2.1 метод UnwrappedPropertyHandler.processUnwrapped() повторно обрабатывает буферизированный JSON для свойства с аннотацией @JsonUnwrapped и вызывает prop.deserializeAndSet() без проверки guard вида prop.visibleInView(ctxt.getActiveView()), что позволяет записать свойство, помеченное одновременно аннотациями @JsonView и @JsonUnwrapped, из вредоносного JSON пользователя в контексте менее привилегированной активной представления (view). Данная проблема исправлена в версиях 2.18.9, 2.21.5, 2.22.1, 3.1.5 и 3.2.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.