Katalog CVE

CVE-2026-54896

NiskieCVSS 2.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.12%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

W bibliotece Oj (Optimized JSON) dla języka Ruby wykryto podatność na przepełnienie bufora sterty podczas serializacji obiektów Exception z dużą wartością parametru :indent. Problem występuje w wersjach przed 3.17.2 i został naprawiony w tej wersji.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do uszkodzenia pamięci sterty, co może prowadzić do nieoczekiwanego zachowania aplikacji, wycieku danych lub potencjalnie zdalnego wykonania kodu.

Rekomendacja

Należy niezwłocznie zaktualizować gem Oj do wersji 3.17.2 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy unikać używania dużych wartości parametru :indent podczas serializacji obiektów Exception.

Oryginalny opis (angielski, źródło NVD)

Oj (Optimized JSON) is a JSON parser and Object marshaller packaged as a Ruby gem. In versions prior to 3.17.2, when in object mode, Oj.dump is vulnerable to a heap buffer overflow when serializing Exception objects with a large :indent value. The serializer allocates a buffer sized for the object's attributes but does not account for the indent bytes added on each write. With indent: 5000, the accumulation of 5,000-byte indent strings overflows the 13,150-byte heap allocation, corrupting adjacent heap memory. This issue has been fixed in version 3.17.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS