CVE-2026-9563
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 29 — wyżej niż 29% wszystkich znanych CVE
Streszczenie
W Eclipse Parsson przed wersją 1.1.8 parser JSON nie narzucał domyślnego maksymalnego limitu liczby znaków podczas przetwarzania pojedynczego dokumentu JSON. Aplikacje przetwarzające dane JSON kontrolowane przez atakującego mogą zostać zmuszone do nadmiernego zużycia CPU i pamięci poprzez obsługę bardzo dużych dokumentów, co prowadzi do odmowy usługi.
Ocena ryzyka
Ryzyko polega na możliwości przeprowadzenia ataku DoS poprzez przesłanie złośliwego, dużego dokumentu JSON, co może spowodować wyczerpanie zasobów serwera i przerwanie działania aplikacji.
Rekomendacja
Należy niezwłocznie zaktualizować Eclipse Parsson do wersji 1.1.8 lub nowszej, która wprowadza domyślny limit 15 milionów znaków przetwarzanych przez parser.
Oryginalny opis (angielski, źródło NVD)
In Eclipse Parsson published Maven Central artifacts before version 1.1.8, the JSON parser did not enforce a default maximum on the number of characters consumed while parsing a single JSON document. Applications that parse attacker- controlled JSON can be forced to consume excessive CPU and memory by processing very large documents, including large arrays, objects, strings, numbers, whitespace, or nested structures, resulting in a denial of service. Eclipse Parsson 1.1.8 introduces a configurable maximum parsing limit with a default limit of 15 million parser-consumed characters.

