JSON解析の制御不能な再帰呼び出し

CVE ID

CVE-2020-26883

日付

2020年10月1日

概要

適切に作成されたJSONペイロードをフォームフィールドとして送信すると、制御不能な再帰呼び出しが発生する可能性があります。

影響

PlayJavaフレーバーを使用して実装されたPlayアプリケーションのみに影響が生じます。

影響を受けるバージョン

• Play 2.8.0-2.8.2
• Play 2.7.0-2.7.5
• Play 2.6.x

修正プログラム

この問題はPlay 2.8.3および2.7.6で修正されています。このバージョンはすでにサポートが終了しているため、2.6.xリリースではこの修正プログラムは提供されません。このセキュリティ問題を回避するには、できるだけ早くアップグレードしてください。

CVSSメトリクス（詳細）

全体：6.7
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C

表彰者

この脆弱性の発見は、Geminiセキュリティチーム、Doyensec、@lucash-devに評価されています。