JSON解析経由のDoS Stack Overflow
CVE-ID
CVE-2020-27196
日付
2020年10月1日
説明
HTTPリクエストのPlay本文解析は、Content-Typeヘッダーを指定してペイロードを意欲的に解析します。正当なPOSTエンドポイント(JSONペイロードを期待する場合とそうでない場合があります)に送信されたディープJSON構造は、StackOverflowErrorを引き起こします。
影響
これは、PlayJavaフレーバーを使用して実装されたPlayアプリケーションにのみ影響します。
影響を受けるバージョン
- Play 2.8.0-2.8.2
- Play 2.7.0-2.7.5
- Play 2.6.x
修正
この問題は、Play 2.8.3および2.7.6で修正されています。このバージョンはサポートの終了に達しているため、2.6.xリリースにはこの修正はありません。このセキュリティ問題を回避するために、できるだけ早くアップグレードしてください。