Katalog CVE

CVE-2026-54516

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 20 - wyżej niż 20% wszystkich znanych CVE

Streszczenie

Podatność w jackson-databind pozwala atakującemu na ominięcie adnotacji @JsonIgnore na setterze poprzez wykorzystanie @JsonProperty na getterze. W rezultacie pole prywatne klasy staje się zapisywalne podczas deserializacji, co umożliwia bezpośredni zapis danych do obiektu.

Ocena ryzyka

Atakujący może dostarczyć zmieniony klucz JSON, aby zapisać dane bezpośrednio do pola prywatnego, omijając walidację lub logikę biznesową zaimplementowaną w setterze. Może to prowadzić do nieautoryzowanej modyfikacji danych lub naruszenia integralności obiektów.

Rekomendacja

Należy niezwłocznie zaktualizować jackson-databind do wersji 3.1.4 (dla gałęzi 3.x) lub 2.21.4 (dla gałęzi 2.x). Jeśli aktualizacja nie jest możliwa, rozważ wyłączenie MapperFeature.INFER_PROPERTY_MUTATORS.

Oryginalny opis (angielski, źródło NVD)

jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.21.0 until 2.21.4 and 3.1.4, POJOPropertiesCollector._renameProperties() allows a property with @JsonProperty("renamed") on the getter and @JsonIgnore on the setter to be renamed rather than dropped. With MapperFeature.INFER_PROPERTY_MUTATORS enabled (default), the private backing field is retained; during deserialization BeanDeserializerFactory.addBeanProps() sees hasField()==true, builds a FieldProperty, and makes the backing field writable. An attacker supplying the renamed JSON key writes the backing field directly, bypassing the @JsonIgnore on the setter. This vulnerability is fixed in 3.1.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS