漏洞名称:
Apache Johnzon 反序列化漏洞(CVE-2023-33008)
组件名称:
Apache Johnzon
影响范围:
Apache Johnzon < 1.2.21
漏洞类型:
反序列化
利用条件:
1、用户认证:未知
2、前置条件:未知
3、触发方式:远程
综合评价:
<综合评定利用难度>:未知。
<综合评定威胁等级>:中危,能造成拒绝服务。
官方解决方案:
已发布
漏洞分析
组件介绍
Apache Johnzon 是用于解析和创建 JSONP 的 Java 库。
漏洞简介
2023年7月13日,深信服安全团队监测到一则Apache Johnzon 组件存在反序列化漏洞的信息,漏洞编号:(CVE-2023-33008),漏洞威胁等级:中危。
该漏洞是由于反序列化时内容的缺少检查,攻击者可利用该漏洞,构造包含超大数值的JSON数据,执行拒绝服务攻击,最终导致服务处理速度缓慢,甚至崩溃。
影响范围
目前受影响的Apache Johnzon版本:
Apache Johnzon < 1.2.21
解决方案
官方修复建议
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。链接如下:
https://johnzon.apache.org/download.html
参考链接
https://issues.apache.org/jira/browse/JOHNZON-397
时间轴
深信服监测到Apache Johnzon 反序列化漏洞(CVE-2023-33008)漏洞信息。
深信服千里目安全技术中心发布漏洞通告。
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Apache Johnzon 反序列化漏洞CVE-2023-33008
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论