近日,云起无垠的无垠代码模糊测试系统通过对json parse库、MojoJson进行检测发现多个CVE漏洞,漏洞编号为:CVE-2023-23083 ~ CVE-2023-23088,该系列漏洞皆为内存类漏洞,漏洞允许攻击者执行恶意代码进行攻击,从而造成严重后果。其中,CVE-2023-23086~CVE-2023-23088已公开。
MojoJson 是一个极其简单且超快速的JSON 解析器。解析器支持解析Json 格式,并提供简单的API 来访问不同类型的 Json 值。此外,核心算法可以很容易地用各种编程语言实现。
JSON.parse()是Javascript中一个常用的 JSON 转换方法,JSON.parse()可以把JSON规则的字符串转换为JSONObject,JSON.parse()很方便,并且几乎支持所有浏览器。
针对此类漏洞,无垠代码模糊测试系统均给出了相应建议。
① CVE-2023-23086 func SkipString中堆缓冲区溢出
MojoJson v1.2.3中的缓冲区溢出漏洞允许攻击者通过SkipString函数执行任意代码。
漏洞等级:严重;CVSS v3.1漏洞评分:9.8
② CVE-2023-23087 函数Destory中指针错误
在MojoJson v1.2.3中发现了一个问题,允许攻击者通过destroy函数执行任意代码。
漏洞等级:严重;CVSS v3.1漏洞评分:9.8
③ CVE-2023-23088 json_value_parse堆缓冲区溢出
Barenboim json-parser master和v1.1.0中的缓冲区溢出漏洞已在v1.1.1中修复,允许攻击者通过json_value_parse函数执行任意代码。
漏洞等级:严重;CVSS v3.1漏洞评分:9.8
无垠代码模糊测试系统针对每一个CVE漏洞都给出了处置方案,可参照如上截图细看。
本文作者:云起无垠
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/196134.html
文章来源: https://www.secpulse.com/archives/196134.html
如有侵权请联系:admin#unsafe.sh