PT-2021-8147 · Newtonsoft+1 · Newtonsoft.Json+1
Gil Mirmovitch
·
Publicado
2021-01-19
·
Atualizado
2025-11-28
·
CVE-2024-21907
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
Versões do Newtonsoft.Json anteriores à 13.0.1
Descrição
O problema está relacionado a uma vulnerabilidade decorrente do tratamento inadequado de condições excepcionais na biblioteca Newtonsoft.Json. Dados maliciosos passados ao método
JsonConvert.DeserializeObject podem desencadear uma exceção de StackOverflow, resultando em negação de serviço. Dependendo do uso da biblioteca, um invasor remoto e não autenticado pode ser capaz de causar a condição de negação de serviço. A vulnerabilidade pode ser explorada passando dados JSON altamente aninhados, o que pode causar alto uso de CPU e RAM ou uma exceção StackOverflow.Recomendações
Para mitigar o problema, atualize o Newtonsoft. Json para a versão 13.0.1 ou defina o parâmetro
MaxDepth em JsonSerializerSettings para um valor adequado, como 128, para evitar aninhamento excessivo. Isso pode ser feito globalmente com a seguinte instrução:JsonConvert.DefaultSettings = () => new JsonSerializerSettings { MaxDepth = 128 };Exploit
Correção
DoS
Improper Handling of Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Sql Server
Newtonsoft.Json