Katalog CVE

CVE-2026-54514

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

Podatność w jackson-databind od wersji 2.0.0 do 2.18.8, 2.21.4 i 3.1.4 powoduje, że podczas deserializacji obiektu InetSocketAddress następuje natychmiastowe rozwiązywanie nazw DNS dla danych wejściowych pochodzących z niezaufanego źródła. Atakujący może wymusić wykonanie zapytania DNS na wybranym przez siebie hoście jeszcze przed jakąkolwiek walidacją aplikacyjną.

Ocena ryzyka

Organizacja narażona jest na atak typu DNS exfiltration lub skanowanie sieci wewnętrznej poprzez kontrolowane przez atakującego zapytania DNS, co może prowadzić do wycieku danych lub mapowania infrastruktury.

Rekomendacja

Należy niezwłocznie zaktualizować jackson-databind do wersji 2.18.8, 2.21.4 lub 3.1.4, w zależności od używanej gałęzi, aby opóźnić rozwiązywanie DNS do momentu jawnego połączenia.

Oryginalny opis (angielski, źródło NVD)

jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.0.0 until 2.18.8, 2.21.4, and 3.1.4, JDKFromStringDeserializer constructed InetSocketAddress with new InetSocketAddress(host, port), which performs eager DNS name resolution for hostname inputs at deserialization time. An application that binds untrusted JSON into a type containing an InetSocketAddress field issues an attacker-chosen DNS query during readValue, before any application-level validation or connect logic. The fix uses InetSocketAddress.createUnresolved(host, port), deferring DNS to an explicit connect. This vulnerability is fixed in 2.18.8, 2.21.4, and 3.1.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS