製品・ソフトウェアに関する情報

脆弱性検索

ベンダー検索

プロダクト・サービス検索

JVN脆弱性検索トップ

->

JVN脆弱性詳細

FasterXML, LLCのJackson-databindにおけるリソースの枯渇に関する脆弱性

タイトル	FasterXML, LLCのJackson-databindにおけるリソースの枯渇に関する脆弱性
概要	jackson-databindはJacksonデータプロセッサの汎用データバインディング機能およびツリーモデルを含みます。バージョン2.13.0から2.14.0までの間に、攻撃者が深くネストされたJSONを送信した場合に潜在的なサービス拒否（DoS）が発生する可能性があります。ただし、これはサービスが深くネストされた（数千レベルの）JSONをJsonNode（ObjectMapper.readTree()）として読み取り、同じ（または変更された）ノードをJsonNode.toString()で書き出す場合に限られます。比較的小さいリクエスト（1000のネストされた配列は2kB）であっても同時に大量のリソースを消費する可能性があります。この脆弱性はバージョン2.14.0で修正されました。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年6月23日0:00
登録日	2026年6月29日11:06
最終更新日	2026年6月29日11:06

CVSS3.0 : 重要
スコア	7.5
ベクター	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

影響を受けるシステム

FasterXML, LLC

Jackson-databind 2.10.0 以上 2.14.0 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-50193	https://www.cve.org/CVERecord?id=CVE-2026-50193
National Vulnerability Database (NVD)
2	CVE-2026-50193	https://nvd.nist.gov/vuln/detail/CVE-2026-50193

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-400	https://cwe.mitre.org/data/definitions/400.html

ベンダー情報

No	名前	URL
GitHub
1	Deeply nested JsonNode throws StackOverflowError for toString() Advisory FasterXML/jackson-databind GitHub	https://github.com/FasterXML/jackson-databind/security/advisories/GHSA-3wrr-7qpf-2prh

その他

No	名前	URL
関連文書
1	Deeply nested JsonNode throws StackOverflowError for toString() [CVE-2026-50193] Issue #3447 FasterXML/jackson-databind	https://github.com/FasterXML/jackson-databind/issues/3447
2	Fix #3447 FasterXML/jackson-databind@a1fa4ae GitHub	https://github.com/FasterXML/jackson-databind/commit/a1fa4ae4ecf5cee16da465985f135f3e81816f8c

変更履歴

No	変更内容	変更日
1	[2026年06月29日] 掲載	2026年6月29日11:06

NVD脆弱性情報

CVE-2026-50193

概要	jackson-databind contains the general-purpose data-binding functionality and tree-model for Jackson Data Processor. From 2.13.0 until 2.14.0, a potential Denial-of-Service exists when attacker sends deeply nested JSON if (and only if) the service reads deeply nested (1000s of levels) JSON as JsonNode (ObjectMapper.readTree()) and writes out same (or modifided) node using JsonNode.toString(). This can consume significant amount of resources with concurrent relatively small requests (1000 nested arrays is 2kB). This vulnerability is fixed in 2.14.0.
公表日	2026年6月24日6:17
登録日	2026年6月27日4:16
最終更新日	2026年6月28日6:05

影響を受けるソフトウェアの構成

構成1		以上	以下	より上	未満
cpe:2.3:a:fasterxml:jackson-databind::::::::		2.10.0			2.14.0

関連情報、対策とツール

No	URL	refsource	タグ
1	https://github.com/FasterXML/jackson-databind/commit/a1fa4ae4ecf5cee16da465985f135f3e81816f8c	security-advisories@github.com
2	https://github.com/FasterXML/jackson-databind/issues/3447	security-advisories@github.com
3	https://github.com/FasterXML/jackson-databind/security/advisories/GHSA-3wrr-7qpf-2prh	security-advisories@github.com

共通脆弱性一覧

No	CWE	名前	URL
1	CWE-400	リソースの枯渇	https://cwe.mitre.org/data/definitions/400.html