Playのセキュリティ脆弱性

セキュリティアドバイザリの受信

セキュリティに関するすべてのお知らせを受け取るための最良の方法は、Playセキュリティリストに登録することです。

メーリングリストのトラフィックは非常に少なく、コアチームがセキュリティレポートを管理し、修正が公開された後にのみ通知が送信されます。

脆弱性の報告

問題を公の場で公開する前に、まずプライベートなセキュリティメーリングリストに報告することを強く推奨します。

Playのセキュリティバグはすべて、[email protected]にメールで報告する必要があります。このリストは、セキュリティ問題に対処するコアチームのサブセットに配信されます。

Play 2.8.x

Play 2.8.16で修正済み

CVE-2022-31018 - JSONからのフォームバインディング時のサービス拒否
CVE-2022-31023 - 開発エラーのスタックトレースが本番環境に漏洩

Play 2.8.5で修正済み

CVE-2020-28923-ストレージまたは転送前の機密情報の不適切な削除 - ストレージまたは転送前の機密情報の不適切な削除

Play 2.8.3で修正済み

CVE-2020-26882-JsonParseDataAmplification - JSON解析データ増幅
CVE-2020-26883-JsonParseUncontrolledRecursion - JSON解析の制御されない再帰
CVE-2020-27196-DosViaJsonStackOverflow - JSON解析スタックオーバーフローによるDoS

Play 2.8.2で修正済み

CVE-2020-12480-CsrfBlacklistBypass

Play 2.7.x

Play 2.7.6で修正済み

CVE-2020-26882-JsonParseDataAmplification - JSON解析データ増幅
CVE-2020-26883-JsonParseUncontrolledRecursion - JSON解析の制御されない再帰
CVE-2020-27196-DosViaJsonStackOverflow - JSON解析スタックオーバーフローによるDoS

Play 2.7.5で修正済み

CVE-2020-12480-CsrfBlacklistBypass

Play 2.6.x

Play 2.5.x

Play 2.5.18で修正済み

20171005-CorsVaryHeader

Play 2.5.14で修正済み

20170407-LogbackDeser

Play 2.5.11で修正済み

20170120-WSOAuthDoS

Play 2.4.x

Play 2.5.0で修正済み

20160304-CsrfBypass

Play 2.4.8で修正済み

20160622-JavaScriptRouterXSS

Play 2.3.x

Play 2.3.9で修正済み

CVE-2015-2156-HttpOnlyBypass

Play 2.3.5で修正済み

CVE-2014-3630-XmlExternalEntity

Play 2.2.x

Play 2.2.6で修正済み

CVE-2014-3630-XmlExternalEntity

Play 2.1.x

Play 2.1.5で修正済み

20130920-XmlExternalEntity

Play 2.1.4で修正済み

20130911-XmlExternalEntity

Play 2.1.3で修正済み

20130806-SessionInjection

Play 2.0.x

Play 2.0.8で修正済み