JSON 解析数据放大
CVE-ID
CVE-2020-26882
日期
2020 年 10 月 1 日
描述
精心制作的 JSON 负载作为表单字段发送会导致数据放大。
影响
影响接受 JSON 作为表单上传(multipart/form-data)字段的用户。
受影响的版本
- Play 2.8.0-2.8.2
- Play 2.7.0-2.7.5
- Play 2.6.x
修复
此问题已在 Play 2.8.3 和 2.7.6 中修复。由于此版本已达到生命周期结束,因此不会发布包含此修复程序的 2.6.x 版本,请尽快升级以避免此安全问题。
CVSS 指标 (更多信息)
总体:6.7
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C
致谢
感谢 Gemini 安全团队、Doyensec 和 @lucash-dev 发现此漏洞。