JSON 解析資料放大

CVE-ID

CVE-2020-26882

日期

2020 年 10 月 1 日

說明

精心設計的 JSON 酬載作為表單欄位傳送，導致資料放大。

影響

影響接受 JSON 作為表單上傳欄位 (multipart/form-data) 的使用者。

受影響版本

• Play 2.8.0-2.8.2
• Play 2.7.0-2.7.5
• Play 2.6.x

修正

此問題已在 Play 2.8.3 和 2.7.6 中修正。由於此版本已達支援終止，因此不會有包含此修正的 2.6.x 版本，請盡快升級以避免此安全問題。

CVSS 指標 (更多資訊)

整體：6.7
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:P/RL:O/RC:C

致謝

發現此漏洞的功勞歸功於 Gemini Security Team、Doyensec 和 @lucash-dev。