CVE-2025-49128

Nome do Software Vulnerável e Versões Afetadas versões do jackson-core de 2.0.0 a 2.13.0

Descrição Uma falha no método JsonLocation. appendSourceDesc do jackson-core permite que até 500 bytes de conteúdo de memória não intencionado sejam incluídos em mensagens de exceção. Ao analisar JSON a partir de um array de bytes com um deslocamento e comprimento, a mensagem de exceção lê incorretamente a partir do início do array em vez do início lógico do payload. Isso resulta em possível vazamento de informações em sistemas que utilizam buffers em pool ou reutilizados, como Netty ou Vert.x. O problema impacta particularmente aplicações servidoras que utilizam buffers de bytes em pool, frameworks que expõem erros de análise em respostas HTTP e configurações padrão do Jackson.

Recomendações Para resolver o problema, atualize para a versão 2.13.0 ou posterior do jackson-core. Se a atualização não for possível imediatamente, as aplicações podem mitigar o problema desativando a exposição de mensagens de exceção aos clientes, evitando retornar mensagens de exceção de análise em respostas HTTP. Além disso, desative a inclusão da origem nas exceções definindo jsonFactory.disable(JsonFactory.Feature.INCLUDE SOURCE IN LOCATION) para impedir que o Jackson incorpore qualquer conteúdo de origem nas mensagens de exceção, evitando vazamentos.