Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

github логотип

GHSA-vc89-hccf-rq55

Опубликовано: 06 янв. 2022
Источник: github
Github: Прошло ревью
CVSS3: 5.9

Описание

Hash collision in typelevel jawn

Impact

Extenders of the org.typelevel.jawn.SimpleFacade and org.typelevel.jawn.MutableFacade who don't override objectContext() are vulnerable to a hash collision attack. Most applications do not implement these traits directly, but inherit from a library:

Affected implementations include:

  • org.http4s :: http4s-play-json
  • org.typelevel :: jawn-ast (< 0.8.0)
  • org.typelevel :: jawn-play (discontinued)
  • org.typelevel :: jawn-rojoma (discontinued)
  • org.typelevel :: jawn-spray (discontinued)

Unaffected implementations include:

  • io.argonaut :: argonaut-jawn
  • io.circe :: circe-parser
  • org.typelevel :: jawn-ast (>= 0.8.0)
  • org.typelevel :: jawn-json4s (discontinued)
  • org.typelevel :: jawn-argonaut (discontinued)

Patches

jawn-parser-1.3.2 fixes the issue.

Workarounds

Override objectContext() to use a collision-safe collection. See the patch for an example in both SimpleFacade and MutableFacade.

References

Credits

  • @kag0, for the report and the patch

For more information

If you have any questions or comments about this advisory:

Ссылки

Пакеты

Наименование

org.typelevel:jawn-parser_0.25

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parserg

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_0.27

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_2.10

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_2.11

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_2.12

maven
Затронутые версииВерсия исправления

< 1.3.2

1.3.2

Наименование

org.typelevel:jawn-parser_2.13

maven
Затронутые версииВерсия исправления

< 1.3.2

1.3.2

Наименование

org.typelevel:jawn-parser_2.13.0-M5

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_2.13.0-RC1

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_2.13.0-RC2

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_2.13.0-RC3

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_3

maven
Затронутые версииВерсия исправления

< 1.3.2

1.3.2

Наименование

org.typelevel:jawn-parser_3.0.0-M1

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_3.0.0-M2

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_3.0.0-M3

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_3.0.0-RC1

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_3.0.0-RC2

maven
Затронутые версииВерсия исправления

Отсутствует

Наименование

org.typelevel:jawn-parser_3.0.0-RC3

maven
Затронутые версииВерсия исправления

Отсутствует

EPSS

Процентиль: 35%
0.00141
Низкий

5.9 Medium

CVSS3

CVE ID

CVE-2022-21653

Дефекты

CWE-326
CWE-400

Связанные уязвимости

ubuntu логотип

CVE-2022-21653

CVSS3: 5.9
ubuntu
около 4 лет назад

Jawn is an open source JSON parser. Extenders of the `org.typelevel.jawn.SimpleFacade` and `org.typelevel.jawn.MutableFacade` who don't override `objectContext()` are vulnerable to a hash collision attack which may result in a denial of service. Most applications do not implement these traits directly, but inherit from a library. `jawn-parser-1.3.1` fixes this issue and users are advised to upgrade. For users unable to upgrade override `objectContext()` to use a collision-safe collection.

nvd логотип

CVE-2022-21653

CVSS3: 5.9
nvd
около 4 лет назад

Jawn is an open source JSON parser. Extenders of the `org.typelevel.jawn.SimpleFacade` and `org.typelevel.jawn.MutableFacade` who don't override `objectContext()` are vulnerable to a hash collision attack which may result in a denial of service. Most applications do not implement these traits directly, but inherit from a library. `jawn-parser-1.3.1` fixes this issue and users are advised to upgrade. For users unable to upgrade override `objectContext()` to use a collision-safe collection.

debian логотип

CVE-2022-21653

CVSS3: 5.9
debian
около 4 лет назад

Jawn is an open source JSON parser. Extenders of the `org.typelevel.ja ...

suse-cvrf логотип

openSUSE-SU-2022:0106-1

suse-cvrf
около 4 лет назад

Security update for jawn

suse-cvrf логотип

openSUSE-SU-2022:0011-1

suse-cvrf
около 4 лет назад

Security update for jawn

EPSS

Процентиль: 35%
0.00141
Низкий

5.9 Medium

CVSS3

CVE ID

CVE-2022-21653

Дефекты

CWE-326
CWE-400