JSON 在存储或传输之前未正确删除敏感信息

CVE-ID

CVE-2020-28923

日期

2020 年 11 月 9 日

描述

Play Java API 上的 JSON 处理会序列化私有和受保护的字段。

影响

从 2.8.0 之前的 Play 版本迁移的用户，这些用户使用 Play Java API 将包含受保护或私有字段的类序列化为 JSON。

受影响的版本

• Play 2.8.0-2.8.4

修复

此问题已在 Play 2.8.5 中修复。

CVSS 指标 (更多信息)

总体：4.2
AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N/E:X/RL:O/RC:C

致谢

感谢 Onilton Maciel 报告此漏洞。