PT-2026-40549 · Canonical+3 · Collada2Gltf+3
Zwique
·
Publicado
2026-05-12
·
Atualizado
2026-06-01
·
CVE-2026-44660
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
UltraJSON versões anteriores a 5.12.1
Descrição
Ocorre um vazamento de memória quando a função
ujson.dump() escreve em um objeto do tipo arquivo e a operação de escrita gera uma exceção. A função objToJSONFile() aloca um objeto de string Python, mas falha ao chamar Py DECREF(string) no caminho de saída antecipada durante uma falha de escrita, fazendo com que o tamanho total do payload serializado seja vazado. Isso pode levar ao crescimento linear da memória se um aplicativo serializar dados para um objeto do tipo arquivo influenciado por um invasor que possa falhar, potencialmente esgotando a memória de um servidor web.Recomendações
Atualize para a versão 5.12.1.
Como alternativa temporária, substitua o uso de
ujson.dump(obj, file) por file.write(ujson.dumps(obj)) para evitar o vazamento de memória.Exploit
Correção
Memory Leak
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Collada2Gltf
Pandas
Ujson
Ultrajson