| Title | FasterXML, LLCのJackson-databindにおけるサーバサイドのリクエストフォージェリの脆弱性 |
|---|---|
| Summary | jackson-databind は Jackson Data Processor の汎用データバインディング機能およびツリーモデルを含むライブラリです。バージョン 2.0.0 から 2.18.8、2.21.4、および 3.1.4 まで、JDKFromStringDeserializer は new InetSocketAddress(host, port) を使って InetSocketAddress を構築しており、これは逆シリアライズ時にホスト名入力に対して積極的な DNS 名前解決を行います。InetSocketAddress フィールドを含む型に信頼できない JSON をバインドするアプリケーションは、readValue の処理中に攻撃者が選択した DNS クエリを発行し、アプリケーションレベルの検証や接続ロジックの前にこれが発生します。この問題の修正は InetSocketAddress.createUnresolved(host, port) を使用し、DNS 解決を明示的な接続時まで遅延させる方法で行われました。この脆弱性は 2.18.8、2.21.4、および 3.1.4 で修正されています。 |
| Possible impacts | ・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアは停止しません。 |
| Solution | ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date | June 23, 2026, midnight |
| Registration Date | June 29, 2026, 11:06 a.m. |
| Last Update | June 29, 2026, 11:06 a.m. |
| CVSS3.0 : 警告 | |
| Score | 5.3 |
|---|---|
| Vector | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| FasterXML, LLC |
| Jackson-databind 2.0.0 以上 2.18.8 未満 |
| Jackson-databind 2.19.0 以上 2.21.4 未満 |
| Jackson-databind 3.0.0 以上 3.1.4 未満 |
| No | Changed Details | Date of change |
|---|---|---|
| 1 | [2026年06月29日] 掲載 |
June 29, 2026, 11:06 a.m. |
| Summary | jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.0.0 until 2.18.8, 2.21.4, and 3.1.4, JDKFromStringDeserializer constructed InetSocketAddress with new InetSocketAddress(host, port), which performs eager DNS name resolution for hostname inputs at deserialization time. An application that binds untrusted JSON into a type containing an InetSocketAddress field issues an attacker-chosen DNS query during readValue, before any application-level validation or connect logic. The fix uses InetSocketAddress.createUnresolved(host, port), deferring DNS to an explicit connect. This vulnerability is fixed in 2.18.8, 2.21.4, and 3.1.4. |
|---|---|
| Publication Date | June 24, 2026, 6:17 a.m. |
| Registration Date | June 27, 2026, 4:16 a.m. |
| Last Update | June 28, 2026, 5:55 a.m. |
| Configuration1 | or higher | or less | more than | less than | |
| cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* | 2.0.0 | 2.18.8 | |||
| cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* | 2.19.0 | 2.21.4 | |||
| cpe:2.3:a:fasterxml:jackson-databind:*:*:*:*:*:*:*:* | 3.0.0 | 3.1.4 | |||