CVE-2022-31018

Versões 2.8.3 a 2.8.15 do Play Framework

Foi descoberta uma vulnerabilidade de negação de serviço na biblioteca de formulários do Play Framework, afetando tanto as APIs Scala quanto as Java. Isso ocorre ao usar o método Form#bindFromRequest em um corpo de solicitação JSON ou o método Form#bind diretamente em um valor JSON, e os dados JSON contêm um objeto ou matriz JSON profundamente aninhado, o que pode consumir todo o espaço disponível na pilha e causar um OutOfMemoryError. Se a execução for feita no despachador padrão e akka.jvm-exit-on-fatal-error estiver habilitado, isso pode causar a falha do processo da aplicação. Form.bindFromRequest fica vulnerável ao usar qualquer analisador de corpo que produza um tipo AnyContent ou JsValue em Scala, ou um que possa produzir um JsonNode em Java, incluindo o analisador de corpo padrão do Play.

Para as versões 2.8.3 a 2.8.15, atualize para a versão 2.8.16, que inclui um limite global para a profundidade de um objeto JSON que pode ser analisado, configurável pelo usuário se necessário.

Como solução alternativa temporária, considere mudar do analisador de corpo padrão para outro analisador de corpo que suporte apenas o tipo específico de corpo esperado, como o analisador de corpo formUrlEncoded para solicitações application/x-www-form-urlencoded.