CVE-2020-27196

Опубликовано: 06 нояб. 2020

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Описание

An issue was discovered in PlayJava in Play Framework 2.6.0 through 2.8.2. The body parsing of HTTP requests eagerly parses a payload given a Content-Type header. A deep JSON structure sent to a valid POST endpoint (that may or may not expect JSON payloads) causes a StackOverflowError and Denial of Service.

Ссылки

https://www.playframework.com/security/vulnerability
Vendor Advisory
https://www.playframework.com/security/vulnerability/CVE-2020-27196-DosViaJsonStackOverflow
Vendor Advisory
https://www.playframework.com/security/vulnerability
Vendor Advisory
https://www.playframework.com/security/vulnerability/CVE-2020-27196-DosViaJsonStackOverflow
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:lightbend:play_framework:*:*:*:*:*:*:*:*

Версия до 2.6.25 (включая)

cpe:2.3:a:lightbend:play_framework:*:*:*:*:*:*:*:*

Версия от 2.7.0 (включая) до 2.7.5 (включая)

cpe:2.3:a:lightbend:play_framework:*:*:*:*:*:*:*:*

Версия от 2.8.0 (включая) до 2.8.2 (включая)

EPSS

Процентиль: 66%

0.00526

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-787

Связанные уязвимости

GHSA-h48w-c35p-6m8x

CVSS3: 7.5

github

почти 4 года назад

Out-of-bounds Write in Play Framework

EPSS

Процентиль: 66%

0.00526

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-787