JSON：格納または転送前に機密情報の不適切な削除

CVE-ID

CVE-2020-28923

日付

2020年11月9日

説明

JavaAPIでのPlay JSON処理はprivateフィールドとprotectedフィールドをシリアル化します。

影響

保護されたフィールドまたはprivateフィールドを使ってクラスをJSONにシリアル化するPlay JavaAPIを使用していた、バージョン2.8.0より前のPlayを使用していたユーザー。

影響を受けるバージョン

• Play 2.8.0-2.8.4

修正

この問題はPlay 2.8.5で修正されました。

CVSSメトリクス(詳細)

全体：4.2
AV:N/AC:H/PR:H/UI:N/S:U/C:H/I:N/A:N/E:X/RL:O/RC:C

謝辞

この脆弱性の報告による功績はオニルトン・マシエルにあります。