安全漏洞

接收安全公告

接收所有安全公告的最佳方式是訂閱 Play 安全清單。

該郵件清單流量很低，僅在核心團隊管理安全報告並公開修復程式後才會收到通知。

報告漏洞

我們強烈建議大家先將此類問題報告給我們的私人安全郵件清單，再在公開論壇中公開。

Play 中的所有安全漏洞都應透過電子郵件報告給 [email protected]。此清單會傳送給處理安全問題的核心團隊小組。

Play 2.8.x

已於 Play 2.8.16 修復

• CVE-2022-31018 - 從 JSON 繫結表單時會發生阻斷服務
• CVE-2022-31023 - 開發錯誤堆疊追蹤外洩至產品

已於 Play 2.8.5 修復

• CVE-2020-28923-ImproperRemovalofSensitiveInformationBeforeStorageorTransfer - 儲存或傳輸前不當移除敏感資訊

已於 Play 2.8.3 修復

• CVE-2020-26882-JsonParseDataAmplification - JSON 解析資料擴充
• CVE-2020-26883-JsonParseUncontrolledRecursion - JSON 解析不受控遞迴
• CVE-2020-27196-DosViaJsonStackOverflow - 透過 JSON 解析堆疊溢位進行阻斷服務

已於 Play 2.8.2 修復

CVE-2020-12480-CsrfBlacklistBypass - Play CSRF 過濾器內容類型黑名單繞過

Play 2.7.x

已於 Play 2.7.6 修復

• CVE-2020-26882-JsonParseDataAmplification - JSON 解析資料擴充
• CVE-2020-26883-JsonParseUncontrolledRecursion - JSON 解析不受控遞迴
• CVE-2020-27196-DosViaJsonStackOverflow - 透過 JSON 解析堆疊溢位進行阻斷服務

已於 Play 2.7.5 修復

CVE-2020-12480-CsrfBlacklistBypass - Play CSRF 過濾器內容類型黑名單繞過

Play 2.6.x

已於 Play 2.6.24 修復

CVE-2019-17598-PlayWSHttpConnectAuthorizationHeaders - Play-WS 傳送 HTTP CONNECT，包括授權標頭至目標主機

已於 Play 2.6.16 修復

CVE-2018-13864-PathTraversal - 資產控制器中的路徑穿越

已於 Play 2.6.6 修復

20171005-CorsVaryHeader - CORS 過濾器中不當處理 Vary 標頭

已於 Play 2.6.5 修復

20170828-InvalidUriParsing - AsyncHttpClient 和 Play WS URI 解析漏洞

Play 2.5.x

已於 Play 2.5.18 修復

20171005-CorsVaryHeader - CORS 過濾器中不當處理 Vary 標頭

已於 Play 2.5.14 修復

20170407-LogbackDeser - Logback SocketAppender 中的 Java 反序列化漏洞

已於 Play 2.5.11 修復

20170120-WSOAuthDoS - WS OAuth 服務拒絕

Play 2.4.x

已在 Play 2.5.0 中修復

20160304-CsrfBypass - CSRF 繞過

已在 Play 2.4.8 中修復

20160622-JavaScriptRouterXSS - JavaScript 路由器 XSS

Play 2.3.x

已在 Play 2.3.9 中修復

CVE-2015-2156-HttpOnlyBypass - Http only cookie 繞過

已在 Play 2.3.5 中修復

CVE-2014-3630-XmlExternalEntity - XML 外部實體漏洞

Play 2.2.x

已在 Play 2.2.6 中修復

CVE-2014-3630-XmlExternalEntity - XML 外部實體漏洞

Play 2.1.x

已在 Play 2.1.5 中修復

20130920-XmlExternalEntity - XML 外部實體漏洞

已在 Play 2.1.4 中修復

20130911-XmlExternalEntity - XML 外部實體漏洞

已在 Play 2.1.3 中修復

20130806-SessionInjection - 會話注入漏洞

Play 2.0.x

已在 Play 2.0.8 中修復

20130920-XmlExternalEntity - XML 外部實體漏洞

已在 Play 2.0.7 中修復

20130911-XmlExternalEntity - XML 外部實體漏洞

已在 Play 2.0.6 中修復

20130806-SessionInjection - 會話注入漏洞

Play 1.4.x

已在 Play 1.4.2 中修復

20160301-XssSecureModule - Secure 模組登入頁面中的 XSS 漏洞

已在 Play 1.4.1 中修復

20151230-SessionHijack - 會話劫持漏洞

Play 1.3.x

已在 Play 1.3.4 中修復

20160301-XssSecureModule - Secure 模組登入頁面中的 XSS 漏洞

已在 Play 1.3.3 中修復

20151230-SessionHijack - 會話劫持漏洞

已在 Play 1.3.1 中修復

20150506-XssUrlParamerter - XSS url 參數漏洞

Play 1.2.x

已在 Play 1.2.7.2 中修復

20150506-XssUrlParamerter - XSS url 參數漏洞