漏洞描述:
Apache Johnzon 是用于解析和创建 JSONP 的 Java 库。
在 Apache Johnzon 受影响版本中,由于BigDecimal#toBigInteger()未对接收的参数进行大小限制,当攻击者对传入的JSON数据填充大量数字(例如 1e20000000 ),会造成拒绝服务。
影响范围:
org.apache.johnzon:apache-johnzon [0, 1.2.21)
修复方案:
将组件 org.apache.johnzon:apache-johnzon 升级至 1.2.21 及以上版本
参考链接:
https://issues.apache.org/jira/browse/JOHNZON-397
原文始发于微信公众号(飓风网络安全):【漏洞预警】Apache Johnzon 拒绝服务漏洞
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论