製品・ソフトウェアに関する情報

JVN脆弱性詳細

FasterXML, LLCのJackson-databindにおけるリソースの枯渇に関する脆弱性

Title	FasterXML, LLCのJackson-databindにおけるリソースの枯渇に関する脆弱性
Summary	jackson-databindはJacksonデータプロセッサの汎用データバインディング機能およびツリーモデルを含みます。バージョン2.13.0から2.14.0までの間に、攻撃者が深くネストされたJSONを送信した場合に潜在的なサービス拒否（DoS）が発生する可能性があります。ただし、これはサービスが深くネストされた（数千レベルの）JSONをJsonNode（ObjectMapper.readTree()）として読み取り、同じ（または変更された）ノードをJsonNode.toString()で書き出す場合に限られます。比較的小さいリクエスト（1000のネストされた配列は2kB）であっても同時に大量のリソースを消費する可能性があります。この脆弱性はバージョン2.14.0で修正されました。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 23, 2026, midnight
Registration Date	June 29, 2026, 11:06 a.m.
Last Update	June 29, 2026, 11:06 a.m.

Affected System

FasterXML, LLC

Jackson-databind 2.10.0 以上 2.14.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-50193	https://www.cve.org/CVERecord?id=CVE-2026-50193
National Vulnerability Database (NVD)
2	CVE-2026-50193	https://nvd.nist.gov/vuln/detail/CVE-2026-50193

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html

ベンダー情報

No	Name	URL
GitHub
1	Deeply nested JsonNode throws StackOverflowError for toString() Advisory FasterXML/jackson-databind GitHub	https://github.com/FasterXML/jackson-databind/security/advisories/GHSA-3wrr-7qpf-2prh

その他

No	Name	URL
関連文書
1	Deeply nested JsonNode throws StackOverflowError for toString() [CVE-2026-50193] Issue #3447 FasterXML/jackson-databind	https://github.com/FasterXML/jackson-databind/issues/3447
2	Fix #3447 FasterXML/jackson-databind@a1fa4ae GitHub	https://github.com/FasterXML/jackson-databind/commit/a1fa4ae4ecf5cee16da465985f135f3e81816f8c

Change Log

No	Changed Details	Date of change
1	[2026年06月29日] 掲載	June 29, 2026, 11:06 a.m.

NVD Vulnerability Information

CVE-2026-50193

Summary	jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.13.0 until 2.14.0, a potential Denial-of-Service exists when attacker sends deeply nested JSON if (and only if) the service reads deeply nested (1000s of levels) JSON as JsonNode (ObjectMapper.readTree()) and writes out same (or modifided) node using JsonNode.toString(). This can consume significant amount of resources with concurrent relatively small requests (1000 nested arrays is 2kB). This vulnerability is fixed in 2.14.0.
Publication Date	June 24, 2026, 6:17 a.m.
Registration Date	June 27, 2026, 4:16 a.m.
Last Update	June 28, 2026, 6:05 a.m.

Affected software configurations

Configuration1		or higher	or less	more than	less than
cpe:2.3:a:fasterxml:jackson-databind::::::::		2.10.0			2.14.0

Related information, measures and tools

No	URL	refsource
1	https://github.com/FasterXML/jackson-databind/commit/a1fa4ae4ecf5cee16da465985f135f3e81816f8c	security-advisories@github.com
2	https://github.com/FasterXML/jackson-databind/issues/3447	security-advisories@github.com
3	https://github.com/FasterXML/jackson-databind/security/advisories/GHSA-3wrr-7qpf-2prh	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html