【漏洞预警】Apache Johnzon 拒绝服务漏洞

2023年7月7日21:52:55评论37 views字数 344阅读1分8秒阅读模式

漏洞描述：

Apache Johnzon 是用于解析和创建 JSONP 的 Java 库。
在 Apache Johnzon 受影响版本中，由于BigDecimal#toBigInteger()未对接收的参数进行大小限制，当攻击者对传入的JSON数据填充大量数字（例如 1e20000000 ），会造成拒绝服务。

影响范围：
org.apache.johnzon:apache-johnzon [0, 1.2.21)

修复方案：
将组件 org.apache.johnzon:apache-johnzon 升级至 1.2.21 及以上版本

参考链接：

https://issues.apache.org/jira/browse/JOHNZON-397

原文始发于微信公众号（飓风网络安全）：【漏洞预警】Apache Johnzon 拒绝服务漏洞

左青龙
微信扫一扫

右白虎
微信扫一扫

【漏洞预警】Apache Johnzon 拒绝服务漏洞

CVE-2024-23722

CVE-2024-0783

CNVD-2024-06148

CVE-2024-4040｜CrushFTP 认证绕过模板注入漏洞（POC）

【漏洞复现】ZenTao（禅道）身份认证绕过漏洞（QVD-2024-15263）

（CVE-2024-25648）福昕阅读器 ComboBox 小部件格式事件 UAF

漏洞复现 || SpringBlade dict-biz/list接口SQL注入

漏洞预警 | 大华智慧园区综合管理平台远程代码执行漏洞

漏洞预警 | JeecgBoot任意文件上传漏洞

漏洞预警 | 若依druid未授权访问漏洞

发表评论

在线咨询

微信