透過 JSON 解析 Stack Overflow 進行阻斷服務攻擊

CVE-ID

CVE-2020-27196

日期

2020 年 10 月 1 日

說明

Play 主體解析 HTTP 要求會根據 Content-Type 標頭熱切地解析有效負載。傳送至有效 POST 端點（可能或可能不預期 JSON 有效負載）的深度 JSON 結構會導致 StackOverflowError。

影響

這只會影響使用 PlayJava 風格實作的 Play 應用程式。

受影響的版本

• Play 2.8.0-2.8.2
• Play 2.7.0-2.7.5
• Play 2.6.x

修正

此問題已在 Play 2.8.3 和 2.7.6 中修正。由於此版本已達支援結束，因此不會有包含此修正的 2.6.x 版本，請盡快升級以避免此安全問題。

CVSS 指標（更多資訊）

整體：7.0
AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:F/RL:O/RC:C