CVE-2026-54512

Nome do Software Vulnerável e Versões Afetadas jackson-databind versões 2.10.0 até 2.18.7 jackson-databind versões 2.21.0 até 2.21.3 jackson-databind versões 3.1.0 até 3.1.3

Description Existe um problema no PolymorphicTypeValidator (PTV), o principal mecanismo de segurança para desserialização polimórfica. Quando a tipagem polimórfica está habilitada e um identificador de tipo contém parâmetros genéricos (indicados pelo caractere <), a função DatabindContext. resolveAndValidateGeneric() valida apenas o nome da classe do contêiner bruto em relação ao PTV configurado. Se o contêiner for aprovado, a string de tipo canônica completa é analisada via TypeFactory.constructFromCanonical() e retornada sem validar os argumentos de tipo aninhados. Isso permite que um invasor ignore uma lista de permissões (allow-list) ao colocar uma classe negada como um parâmetro de tipo genérico de um contêiner permitido, como java.util.ArrayList<com.evil.Gadget>. A classe negada é então carregada via Class.forName(name, true, loader), instanciada e preenchida com propriedades JSON controladas pelo invasor. Isso pode levar à instanciação de classes arbitrárias e potencial execução remota de código não autenticada se classes com efeitos colaterais exploráveis estiverem presentes no classpath.

Recommendations Atualizar para a versão 2.18.8. Atualizar para a versão 2.21.4. Atualizar para a versão 3.1.4.