CVE-2026-33210
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 53 - wyżej niż 53% wszystkich znanych CVE
Streszczenie
Podatność typu format string injection w bibliotece Ruby JSON (wersje 2.14.0 do 2.15.2.1, 2.17.1.2 i 2.19.2) może prowadzić do ataków DoS lub ujawnienia informacji, gdy używana jest opcja allow_duplicate_key: false podczas parsowania danych dostarczonych przez użytkownika. Problem został naprawiony w wersjach 2.15.2.1, 2.17.1.2 i 2.19.2.
Ocena ryzyka
Atakujący może spowodować odmowę usługi (DoS) lub uzyskać dostęp do poufnych informacji systemowych, co zagraża dostępności i poufności aplikacji korzystających z podatnej biblioteki.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Ruby JSON do wersji 2.15.2.1, 2.17.1.2 lub 2.19.2 (w zależności od używanej gałęzi) oraz unikać używania opcji allow_duplicate_key: false na niezaufanych danych.
Oryginalny opis (angielski, źródło NVD)
Ruby JSON is a JSON implementation for Ruby. From version 2.14.0 to before versions 2.15.2.1, 2.17.1.2, and 2.19.2, a format string injection vulnerability can lead to denial of service attacks or information disclosure, when the allow_duplicate_key: false parsing option is used to parse user supplied documents. This issue has been patched in versions 2.15.2.1, 2.17.1.2, and 2.19.2.

