CVE-2026-54517
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 15 - wyżej niż 15% wszystkich znanych CVE
Streszczenie
W bibliotece jackson-databind w wersjach od 2.21.0 do 2.21.4 oraz 3.1.4 występuje podatność polegająca na pominięciu filtrowania widoku (@JsonView) dla właściwości kolekcji/map bez settera. Atakujący może dostarczyć dane JSON, które zostaną przetworzone mimo że aktywny widok powinien je wykluczać.
Ocena ryzyka
Ryzyko polega na nieautoryzowanym dostępie do danych lub ich modyfikacji, gdy aplikacja używa adnotacji @JsonView do ograniczania widoczności pól w zależności od kontekstu. Atakujący może ominąć te ograniczenia i wstrzyknąć dane do obiektów, które powinny być chronione.
Rekomendacja
Należy niezwłocznie zaktualizować jackson-databind do wersji 2.21.4 lub 3.1.4, które zawierają poprawkę. Jeśli aktualizacja nie jest możliwa, należy rozważyć tymczasowe wyłączenie funkcji scalania (merging) dla kolekcji/map bez settera.
Oryginalny opis (angielski, źródło NVD)
jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.21.0 until 2.21.4 and 3.1.4, in BeanDeserializer._deserializeUsingPropertyBased, the active-view (@JsonView) filter was applied only to creator properties; the regular property-buffering branch performed no prop.visibleInView(activeView) check. A change making SetterlessProperty.isMerging() return true routed setterless Collection/Map properties through this unguarded path, so a setterless collection annotated with a restricted @JsonView is populated from attacker JSON even when the active view excludes it. This vulnerability is fixed in 2.21.4 and 3.1.4.

