PT-2020-6061 · Go · Gjson
Publicado
2020-12-15
·
Atualizado
2021-06-23
·
CVE-2020-35380
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do GJSON anteriores à 1.6.4
Descrição
O problema está relacionado à validação insuficiente de entradas na biblioteca GJSON, o que pode ser explorado por invasores para causar uma negação de serviço por meio de JSON malicioso. Objetos JSON criados de forma maliciosa podem causar um erro de pânico fora dos limites devido à verificação inadequada dos limites. Se a biblioteca for usada para analisar entradas do usuário, isso pode ser utilizado como um vetor de negação de serviço.
Recomendações
Para versões anteriores à 1.6.4, atualize para a versão 1.6.4 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso da biblioteca GJSON ao analisar entradas do usuário para minimizar o risco de exploração. Evite usar a biblioteca com dados JSON não confiáveis ou não validados até que o problema seja resolvido.
Exploit
Correção
Resource Exhaustion
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Gjson