CVE-2026-54517

Nome do Software Vulnerável e Versões Afetadas jackson-databind versões 2.21.0 até 2.21.3 jackson-databind versões 3.0.0 até 3.1.3

Descrição Na função BeanDeserializer. deserializeUsingPropertyBased(), o filtro de visualização ativa (@JsonView) era aplicado apenas a propriedades do criador, enquanto o ramo de buffering de propriedades regular não realizava a verificação prop.visibleInView(activeView). Devido a uma alteração em que SetterlessProperty.isMerging() retorna true, propriedades de Coleção ou Mapa sem setter são roteadas por este caminho desprotegido. Isso permite que coleções sem setter anotadas com um @JsonView restrito sejam preenchidas a partir de JSON não confiável, mesmo quando a visualização ativa as exclui, resultando em uma falha de controle de acesso ou bypass de atribuição em massa, onde propriedades com visualização restrita podem ser gravadas.

Recomendações Atualizar para a versão 2.21.4 Atualizar para a versão 3.1.4