CVE-2026-54518

Nome do Software Vulnerável e Versões Afetadas jackson-databind versões 2.21.0 até 2.21.3 jackson-databind versões 3.0.0 até 3.1.3

Descrição A função UnwrappedPropertyHandler.processUnwrappedCreatorProperties() reproduz o JSON armazenado em buffer nos parâmetros do criador sem consultar prop.visibleInView(activeView). Enquanto o caminho padrão do criador baseado em propriedades restringe as propriedades do criador com base na visualização ativa, este caminho de reprodução de criador descompactado ignora essa verificação. Consequentemente, um parâmetro de construtor anotado com @JsonView(AdminView.class) e @JsonUnwrapped pode ser preenchido a partir de entradas JSON não confiáveis, mesmo quando uma visualização mais restritiva está ativa, potencialmente ignorando limites de autorização de gravação.

Recomendações Atualizar para a versão 2.21.4 para a linha 2.21. Atualizar para a versão 3.1.4 para a linha 3.x.