CVE-2026-54911

Nome do Software Vulnerável e Versões Afetadas UltraJSON versões anteriores a 5.13.0

Descrição As funções ujson.dumps(), ujson.dump() e ujson.encode() possuem um problema quando a variável reject bytes é definida como False. Nesta configuração, o software pode aceitar sequências de bytes UTF-8 malformadas ou truncadas, reescrevendo-as silenciosamente em diferentes caracteres Unicode em vez de rejeitá-las. Esse comportamento pode levar a problemas de integridade de dados e à evasão de validação de entrada, caso tal validação ocorra antes da serialização. Exemplos técnicos incluem a substituição de bytes de continuação inválidos por válidos, a conclusão de sequências não terminadas ou a leitura além do final de uma string.

Recomendações Atualize para a versão 5.13.0. Como alternativa temporária, decodifique bytes para strings em Python antes de passá-los para a função ujson.dumps().