Katalog CVE

CVE-2026-54903

ŚrednieCVSS 6.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.25%

Percentyl 17 — wyżej niż 17% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Oj (Optimized JSON) dla języka Ruby przed wersją 3.17.2 powoduje uszkodzenie sterty podczas parsowania ciągu JSON dłuższego niż 2 GB. Błąd przepełnienia liczby całkowitej w funkcji buf_append_string prowadzi do kopiowania ogromnej ilości danych poza dozwolony obszar pamięci.

Ocena ryzyka

Atakujący może doprowadzić do awarii procesu oraz potencjalnie uszkodzić sąsiednią pamięć sterty, co może skutkować nieprzewidywalnym zachowaniem aplikacji lub wyciekiem danych.

Rekomendacja

Należy niezwłocznie zaktualizować gem Oj do wersji 3.17.2 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

Oj (Optimized JSON) is a JSON parser and Object marshaller packaged as a Ruby gem. In versions prior to 3.17.2, Oj.load is vulnerable to heap corruption when parsing a JSON string longer than 2 GB. An integer overflow in buf_append_string (buf.h:61) converts the string length to a large negative size_t, causing memcpy to copy an astronomically large amount of data out of bounds. This crashes the process and can corrupt adjacent heap memory. The issue has been fixed in version 3.17.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS