製品・ソフトウェアに関する情報

JVN脆弱性詳細

FasterXML, LLCのJackson-databindにおけるサーバサイドのリクエストフォージェリの脆弱性

タイトル	FasterXML, LLCのJackson-databindにおけるサーバサイドのリクエストフォージェリの脆弱性
概要	jackson-databind は Jackson Data Processor の汎用データバインディング機能およびツリーモデルを含むライブラリです。バージョン 2.0.0 から 2.18.8、2.21.4、および 3.1.4 まで、JDKFromStringDeserializer は new InetSocketAddress(host, port) を使って InetSocketAddress を構築しており、これは逆シリアライズ時にホスト名入力に対して積極的な DNS 名前解決を行います。InetSocketAddress フィールドを含む型に信頼できない JSON をバインドするアプリケーションは、readValue の処理中に攻撃者が選択した DNS クエリを発行し、アプリケーションレベルの検証や接続ロジックの前にこれが発生します。この問題の修正は InetSocketAddress.createUnresolved(host, port) を使用し、DNS 解決を明示的な接続時まで遅延させる方法で行われました。この脆弱性は 2.18.8、2.21.4、および 3.1.4 で修正されています。
想定される影響	・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月23日0:00
登録日	2026年6月29日11:06
最終更新日	2026年6月29日11:06

CVSS3.0 : 警告
スコア	5.3
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

影響を受けるシステム

FasterXML, LLC

Jackson-databind 2.0.0 以上 2.18.8 未満

Jackson-databind 2.19.0 以上 2.21.4 未満

Jackson-databind 3.0.0 以上 3.1.4 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-54514	https://www.cve.org/CVERecord?id=CVE-2026-54514
National Vulnerability Database (NVD)
2	CVE-2026-54514	https://nvd.nist.gov/vuln/detail/CVE-2026-54514

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-918	https://cwe.mitre.org/data/definitions/918.html

ベンダー情報

No	名前	URL
GitHub
1	InetSocketAddress deserialization triggers eager DNS resolution (SSRF) in jackson-databind Advisory FasterXML/jackson-databind GitHub	https://github.com/FasterXML/jackson-databind/security/advisories/GHSA-hgj6-7826-r7m5

その他

No	名前	URL
関連文書
1	Improve `InetSocketAddress` deserialization (#5951) FasterXML/jackson-databind@1f5a103 GitHub	https://github.com/FasterXML/jackson-databind/commit/1f5a1037b1e9e05920e755cb35f198bcd46667e4
2	Improve `InetSocketAddress` deserialization [CVE-2026-54514] by cowtowncoder Pull Request #5951 FasterXML/jackson-databind GitHub	https://github.com/FasterXML/jackson-databind/pull/5951

変更履歴

No	変更内容	変更日
1	[2026年06月29日] 掲載	2026年6月29日11:06

NVD脆弱性情報

CVE-2026-54514

概要	jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.0.0 until 2.18.8, 2.21.4, and 3.1.4, JDKFromStringDeserializer constructed InetSocketAddress with new InetSocketAddress(host, port), which performs eager DNS name resolution for hostname inputs at deserialization time. An application that binds untrusted JSON into a type containing an InetSocketAddress field issues an attacker-chosen DNS query during readValue, before any application-level validation or connect logic. The fix uses InetSocketAddress.createUnresolved(host, port), deferring DNS to an explicit connect. This vulnerability is fixed in 2.18.8, 2.21.4, and 3.1.4.
公表日	2026年6月24日6:17
登録日	2026年6月27日4:16
最終更新日	2026年6月28日5:55

影響を受けるソフトウェアの構成

構成1	以上	以下	より上	未満
cpe:2.3:a:fasterxml:jackson-databind::::::::	2.0.0			2.18.8
cpe:2.3:a:fasterxml:jackson-databind::::::::	2.19.0			2.21.4
cpe:2.3:a:fasterxml:jackson-databind::::::::	3.0.0			3.1.4

No	URL	refsource
1	https://github.com/FasterXML/jackson-databind/commit/1f5a1037b1e9e05920e755cb35f198bcd46667e4	security-advisories@github.com
2	https://github.com/FasterXML/jackson-databind/pull/5951	security-advisories@github.com
3	https://github.com/FasterXML/jackson-databind/security/advisories/GHSA-hgj6-7826-r7m5	security-advisories@github.com