CVE-2026-54512 jackson-databind Deserialização
A vulnerabilidade afeta a biblioteca jackson-databind, permitindo a deserialização de tipos polimórficos não autorizados. Um atacante pode explorar essa falha para executar código arbitrário, colocando uma classe proibida como parâmetro de tipo genérico de um contêiner permitido. Isso pode levar a uma execução remota de código, permitindo que o atacante obtenha controle sobre o sistema. A falha é causada pela falta de validação dos argumentos de tipo aninhados contra a lista de permissões configurada.
CVE: CVE-2026-54512
Severidade: HIGH
Resumo:
A vulnerabilidade afeta a biblioteca jackson-databind, permitindo a deserialização de tipos polimórficos não autorizados. Um atacante pode explorar essa falha para executar código arbitrário, colocando uma classe proibida como parâmetro de tipo genérico de um contêiner permitido. Isso pode levar a uma execução remota de código, permitindo que o atacante obtenha controle sobre o sistema. A falha é causada pela falta de validação dos argumentos de tipo aninhados contra a lista de permissões configurada.
CVSS: 8.1