Katalog CVE

CVE-2026-50193

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.62%

Percentyl 45 — wyżej niż 45% wszystkich znanych CVE

Streszczenie

Podatność w jackson-databind od wersji 2.13.0 do 2.14.0 umożliwia atak DoS poprzez wysłanie głęboko zagnieżdżonego JSON-a (tysiące poziomów) odczytywanego jako JsonNode i zapisywanego za pomocą toString(). Nawet niewielkie żądania (1000 zagnieżdżonych tablic to 2kB) mogą znacząco obciążyć zasoby systemowe.

Ocena ryzyka

Atakujący może przeciążyć serwer, wysyłając wiele małych, ale głęboko zagnieżdżonych żądań JSON, co prowadzi do wyczerpania zasobów i odmowy usługi dla legalnych użytkowników.

Rekomendacja

Należy natychmiast zaktualizować jackson-databind do wersji 2.14.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.13.0 until 2.14.0, a potential Denial-of-Service exists when attacker sends deeply nested JSON if (and only if) the service reads deeply nested (1000s of levels) JSON as JsonNode (ObjectMapper.readTree()) and writes out same (or modifided) node using JsonNode.toString(). This can consume significant amount of resources with concurrent relatively small requests (1000 nested arrays is 2kB). This vulnerability is fixed in 2.14.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS