Katalog CVE

CVE-2026-9563

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 29 — wyżej niż 29% wszystkich znanych CVE

Streszczenie

W Eclipse Parsson przed wersją 1.1.8 parser JSON nie narzucał domyślnego maksymalnego limitu liczby znaków podczas przetwarzania pojedynczego dokumentu JSON. Aplikacje przetwarzające dane JSON kontrolowane przez atakującego mogą zostać zmuszone do nadmiernego zużycia CPU i pamięci poprzez obsługę bardzo dużych dokumentów, co prowadzi do odmowy usługi.

Ocena ryzyka

Ryzyko polega na możliwości przeprowadzenia ataku DoS poprzez przesłanie złośliwego, dużego dokumentu JSON, co może spowodować wyczerpanie zasobów serwera i przerwanie działania aplikacji.

Rekomendacja

Należy niezwłocznie zaktualizować Eclipse Parsson do wersji 1.1.8 lub nowszej, która wprowadza domyślny limit 15 milionów znaków przetwarzanych przez parser.

Oryginalny opis (angielski, źródło NVD)

In Eclipse Parsson published Maven Central artifacts before version 1.1.8, the JSON parser did not enforce a default maximum on the number of characters consumed while parsing a single JSON document. Applications that parse attacker- controlled JSON can be forced to consume excessive CPU and memory by processing very large documents, including large arrays, objects, strings, numbers, whitespace, or nested structures, resulting in a denial of service. Eclipse Parsson 1.1.8 introduces a configurable maximum parsing limit with a default limit of 15 million parser-consumed characters.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS