目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-54512— jackson-databind 多态类型验证器绕过漏洞

CVSS 8.1 · High EPSS 0.60% · P44
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-54512の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
jackson-databind: PolymorphicTypeValidator bypass via generic type parameters allows arbitrary class instantiation
ソース: NVD (National Vulnerability Database)
脆弱性説明
jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.10.0 until 2.18.8, 2.21.4, and 3.1.4, jackson-databind's PolymorphicTypeValidator (PTV) is the primary safety mechanism guarding polymorphic deserialization. When polymorphic typing is enabled and a type identifier contains generic parameters (i.e. the type ID string contains <), DatabindContext._resolveAndValidateGeneric() validates only the raw container class name (the substring before <) against the configured PTV. If the container type is approved, the method parses the full canonical type string via TypeFactory.constructFromCanonical() and returns the fully parameterized type without ever validating the nested type arguments against the PTV. The nested type arguments are then resolved, instantiated, and populated as beans during deserialization. An attacker who controls the type ID can therefore place a denied class as a generic type parameter of an allowed container — for example java.util.ArrayList<com.evil.Gadget> when only java.util.ArrayList is allow-listed. The container passes the PTV check; com.evil.Gadget is loaded via Class.forName(name, true, loader), instantiated, and its properties are set from attacker-controlled JSON. This completely bypasses an explicitly configured PTV allow-list. This vulnerability is fixed in 2.18.8, 2.21.4, and 3.1.4.
ソース: NVD (National Vulnerability Database)
CVSS情報
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
不完整的黑名单
ソース: NVD (National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
FasterXMLjackson-databind >= 2.10.0, < 2.18.8 -

II. CVE-2026-54512の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-54512のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-54512 其他参考 (3)

Same Patch Batch · FasterXML · 2026-06-23 · 8 CVEs total

CVE-2026-545138.1 HIGHjackson-databind: Array subtype allowlist bypass in BasicPolymorphicTypeValidator (allowIf
CVE-2026-545186.5 MEDIUMjackson-databind: @JsonView bypass for unwrapped creator parameters in jackson-databind
CVE-2026-545165.3 MEDIUMjackson-databind: Renamed @JsonIgnore'd setters can deserialize via private fields
CVE-2026-545155.3 MEDIUMjackson-databind: Case-insensitive deserialization bypasses per-property @JsonIgnoreProper
CVE-2026-545145.3 MEDIUMjackson-databind: InetSocketAddress deserialization triggers eager DNS resolution (SSRF)
CVE-2026-545175.3 MEDIUMjackson-databind: @JsonView bypass for setterless creator properties
CVE-2026-50193jackson-databind: Deeply nested JsonNode throws StackOverflowError for toString()

IV. 関連脆弱性

V. CVE-2026-54512へのコメント

まだコメントはありません


コメントを残す