通过 JSON 解析 Stack Overflow 导致的拒绝服务攻击

CVE ID

CVE-2020-27196

日期

2020 年 10 月 1 日

描述

Play 框架对 HTTP 请求的正文解析会根据 Content-Type 头部信息积极地解析有效负载。发送到有效 POST 端点（可能期望或可能不期望 JSON 有效负载）的深度 JSON 结构会导致 StackOverflowError 错误。

影响

这只会影响使用 PlayJava 版本实现的 Play 应用程序。

受影响的版本

• Play 2.8.0-2.8.2
• Play 2.7.0-2.7.5
• Play 2.6.x

修复

Play 2.8.3 和 2.7.6 中修复了此问题。由于此版本已达到生命周期结束，因此不会发布包含此修复的 2.6.x 版本，请尽快升级以避免此安全问题。

CVSS 指标 (更多信息)

总体：7.0
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:F/RL:O/RC:C