CVE-2026-54515

Nome do Software Vulnerável e Versões Afetadas jackson-databind versões 2.8.0 até 2.18.8 jackson-databind versões 2.21.0 até 2.21.4 jackson-databind versões 3.0.0 até 3.1.3

Description Na função createContextual() de BeanDeserializerBase, as exclusões de @JsonIgnoreProperties por propriedade são aplicadas por handleByNameInclusion(), que cria um desserializador contextual com as propriedades ignoradas removidas de seu BeanPropertyMap. No entanto, quando o bloco de insensibilidade a maiúsculas e minúsculas por propriedade é acionado por @JsonFormat(ACCEPT CASE INSENSITIVE PROPERTIES), ele é reconstruído usando o mapa original não filtrado this. beanProperties em vez do contextual. beanProperties filtrado. Esse processo sobrescreve o mapa filtrado e restaura as propriedades ignoradas, tornando-as graváveis novamente. Isso pode levar a uma gravação do tipo atribuição em massa (mass-assignment), onde campos destinados a serem não graváveis podem ser definidos usando JSON não confiável se a correspondência insensível a maiúsculas e minúsculas estiver habilitada.

Recommendations Atualizar para a versão 2.18.9 Atualizar para a versão 2.21.5 Atualizar para a versão 3.1.4