CVE-2026-59889 in jackson-databindИнформация

Сводка

по VulDB • 16.07.2026

jackson-databind содержит функциональность привязки данных общего назначения и древовидную модель для Jackson Data Processor. В версиях от 2.18.0 до 2.18.9 (включительно), а также в версиях 2.21.5, 2.22.1, 3.1.5 и 3.2.1 метод UnwrappedPropertyHandler.processUnwrapped() повторно обрабатывает буферизированный JSON для свойства с аннотацией @JsonUnwrapped и вызывает prop.deserializeAndSet() без проверки guard вида prop.visibleInView(ctxt.getActiveView()), что позволяет записать свойство, помеченное одновременно аннотациями @JsonView и @JsonUnwrapped, из вредоносного JSON пользователя в контексте менее привилегированной активной представления (view). Данная проблема исправлена в версиях 2.18.9, 2.21.5, 2.22.1, 3.1.5 и 3.2.1.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

GitHub M

Резервировать

07.07.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379165

EPSS

0.00416

KEV

Нет

Деятельности

Очень низкий

Источники

Want to know what is going to be exploited?

We predict KEV entries!