Katalog CVE

CVE-2026-54517

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 15 - wyżej niż 15% wszystkich znanych CVE

Streszczenie

W bibliotece jackson-databind w wersjach od 2.21.0 do 2.21.4 oraz 3.1.4 występuje podatność polegająca na pominięciu filtrowania widoku (@JsonView) dla właściwości kolekcji/map bez settera. Atakujący może dostarczyć dane JSON, które zostaną przetworzone mimo że aktywny widok powinien je wykluczać.

Ocena ryzyka

Ryzyko polega na nieautoryzowanym dostępie do danych lub ich modyfikacji, gdy aplikacja używa adnotacji @JsonView do ograniczania widoczności pól w zależności od kontekstu. Atakujący może ominąć te ograniczenia i wstrzyknąć dane do obiektów, które powinny być chronione.

Rekomendacja

Należy niezwłocznie zaktualizować jackson-databind do wersji 2.21.4 lub 3.1.4, które zawierają poprawkę. Jeśli aktualizacja nie jest możliwa, należy rozważyć tymczasowe wyłączenie funkcji scalania (merging) dla kolekcji/map bez settera.

Oryginalny opis (angielski, źródło NVD)

jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.21.0 until 2.21.4 and 3.1.4, in BeanDeserializer._deserializeUsingPropertyBased, the active-view (@JsonView) filter was applied only to creator properties; the regular property-buffering branch performed no prop.visibleInView(activeView) check. A change making SetterlessProperty.isMerging() return true routed setterless Collection/Map properties through this unguarded path, so a setterless collection annotated with a restricted @JsonView is populated from attacker JSON even when the active view excludes it. This vulnerability is fixed in 2.21.4 and 3.1.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS