JSON 解析不受控制的递归

CVE-ID

CVE-2020-26883

日期

2020 年 10 月 1 日

描述

精心制作的 JSON 负载作为表单字段发送会导致不受控制的递归。

影响

这仅影响使用 PlayJava 版本实现的 Play 应用程序。

受影响的版本

• Play 2.8.0-2.8.2
• Play 2.7.0-2.7.5
• Play 2.6.x

修复

此问题已在 Play 2.8.3 和 2.7.6 中修复。由于此版本已达到生命周期结束，因此不会发布包含此修复程序的 2.6.x 版本，请尽快升级以避免此安全问题。

CVSS 指标 (更多信息)

总体：6.7
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C

致谢

发现此漏洞的功劳归于 Gemini 安全团队、Doyensec 和 @lucash-dev。