CVE-2026-54911
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 19 — wyżej niż 19% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece UltraJSON (wersje przed 5.13.0) pozwala na akceptowanie uszkodzonych lub niekompletnych sekwencji UTF-8 podczas kodowania danych za pomocą funkcji ujson.dumps(), ujson.dump() lub ujson.encode() z opcją reject_bytes=False. Zamiast odrzucać błędne dane, biblioteka cicho przekształca je w inne znaki Unicode, co prowadzi do obejścia walidacji wejścia i problemów z integralnością danych.
Ocena ryzyka
Organizacja może być narażona na przetwarzanie zniekształconych danych, co może skutkować błędami w aplikacjach, naruszeniem spójności danych lub potencjalnym wykorzystaniem do ataków opartych na manipulacji danymi wejściowymi.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę UltraJSON do wersji 5.13.0 lub nowszej, która zawiera poprawkę eliminującą tę podatność.
Oryginalny opis (angielski, źródło NVD)
UltraJSON is a fast JSON encoder and decoder written in pure C with bindings for Python 3.7+. Prior to 5.13.0, ujson.dumps() (or ujson.dump() or ujson.encode()) have a reject_bytes=False option. When set, they may accept malformed or truncated UTF-8 byte sequences, silently rewriting them into different Unicode characters instead of rejecting them. This leads to input validation bypass and data integrity issues. This vulnerability is fixed in 5.13.0.

