CVE-2026-54514

Nome do Software Vulnerável e Versões Afetadas jackson-databind versões 2.0.0 até 2.18.7 jackson-databind versões 2.19.0 até 2.21.3 jackson-databind versões 3.0.0 até 3.1.3

Descrição A função JDKFromStringDeserializer constrói o InetSocketAddress utilizando new InetSocketAddress(host, port), o que desencadeia a resolução imediata de nomes DNS para entradas de hostname durante a desserialização. Quando uma aplicação vincula JSON não confiável a um tipo que contém um campo InetSocketAddress, ela emite uma consulta DNS escolhida por um invasor durante o processo readValue, ocorrendo antes de qualquer validação em nível de aplicação ou lógica de conexão. Isso pode levar ao Server-Side Request Forgery (SSRF), onde um invasor força consultas DNS externas para hostnames escolhidos a fim de realizar interações out-of-band ou sondagem de resolvedores internos.

Recomendações Atualizar para a versão 2.18.8 para versões na linha 2.18. Atualizar para a versão 2.21.4 para versões na linha 2.19 até 2.21. Atualizar para a versão 3.1.4 para versões na linha 3.x.