Katalog CVE

CVE-2026-33210

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
0.84%

Percentyl 53 - wyżej niż 53% wszystkich znanych CVE

Streszczenie

Podatność typu format string injection w bibliotece Ruby JSON (wersje 2.14.0 do 2.15.2.1, 2.17.1.2 i 2.19.2) może prowadzić do ataków DoS lub ujawnienia informacji, gdy używana jest opcja allow_duplicate_key: false podczas parsowania danych dostarczonych przez użytkownika. Problem został naprawiony w wersjach 2.15.2.1, 2.17.1.2 i 2.19.2.

Ocena ryzyka

Atakujący może spowodować odmowę usługi (DoS) lub uzyskać dostęp do poufnych informacji systemowych, co zagraża dostępności i poufności aplikacji korzystających z podatnej biblioteki.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Ruby JSON do wersji 2.15.2.1, 2.17.1.2 lub 2.19.2 (w zależności od używanej gałęzi) oraz unikać używania opcji allow_duplicate_key: false na niezaufanych danych.

Oryginalny opis (angielski, źródło NVD)

Ruby JSON is a JSON implementation for Ruby. From version 2.14.0 to before versions 2.15.2.1, 2.17.1.2, and 2.19.2, a format string injection vulnerability can lead to denial of service attacks or information disclosure, when the allow_duplicate_key: false parsing option is used to parse user supplied documents. This issue has been patched in versions 2.15.2.1, 2.17.1.2, and 2.19.2.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS