7 Jackson CVEs in One Day: AI-Assisted Security Research

Seven vulnerabilities in jackson-databind were published on June 22, 2026, all discovered by a single researcher in one day using AI-assisted security research. Two are critical RCEs (CVE-2026-54512, CVE-2026-54513, CVSS v4 9.2–9.3) that bypass the PolymorphicTypeValidator allowlist. Five additional medium-severity CVEs bypass @JsonIgnoreProperties, @JsonIgnore, and @JsonView access control mechanisms. All are fixed in jackson-databind 2.18.8, 2.21.4, and 3.1.4. EOL versions (2.13.x–2.15.x) have no community fix; commercial backports for the two critical RCEs are available via HeroDevs NES. The post also highlights the growing CVE disclosure pipeline lag and warns that AI-assisted research is now mainstream, meaning previously unexamined libraries are no longer safe by default.

Nguồn: https://foojay.io/today/7-new-vulnerabilities-in-jackson-in-one-day-this-is-what-ai-assisted-security-research-looks-like. 8sync News chỉ tóm tắt và dẫn link; bản quyền nội dung thuộc tác giả và nguồn gốc.

Đề xuất cho bạn

Baeldung199 phút12 giờ trướcAI

New Features in Java 26

Java 26 bổ sung nhiều cải tiến về hiệu năng, bảo mật và tính năng ngôn ngữ. Đáng chú ý gồm: hạn chế sửa đổi phản chiếu (reflective) đối với trường final; loại bỏ API Applet lỗi thời; hỗ trợ AOT object caching cho mọi bộ thu gom rác (kể cả ZGC); bổ sung HTTP/3 qua QUIC trong HTTP Client API; cải thiện throughput cho G1 GC; phiên bản preview thứ hai của PEM encoding APIs; phiên bản preview thứ sáu của Structured Concurrency; phiên bản preview thứ hai của Lazy Constants; phiên bản incubator thứ mười một của Vector API; và phiên bản preview thứ tư mở rộng pattern matching cho kiểu nguyên thủy trong instanceof và switch.

Những cải tiến trong Java 26 giúp nâng cao hiệu suất thực hiện và bảo mật cho ứng dụng của bạn, từ đó tối ưu hóa hiệu suất công việc và giảm rủi ro khi phát triển.

#java