Vulnerabilidad en UltraJSON para Python (CVE-2022-31117)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-415
Doble liberación
Fecha de publicación:
05/07/2022
Última modificación:
07/11/2023
Descripción
UltraJSON es un codificador y decodificador JSON rápido escrito en C puro con enlaces para Python versiones 3.7+. En versiones anteriores a la 5.4.0, un error al reasignar un búfer para la decodificación de cadenas puede hacer que el búfer se libere dos veces. Debido a cómo UltraJSON usa el decodificador interno, esta doble liberación es imposible de activar desde Python. Este problema ha sido resuelto en la versión 5.4.0 y todos los usuarios deben actualizar a UltraJSON 5.4.0. No se conocen mitigaciones adicionales para este problema
Impacto
Puntuación base 3.x
5.90
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.30
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:ultrajson_project:ultrajson:*:*:*:*:*:python:*:* | 5.4.0 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:36:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/ultrajson/ultrajson/commit/9c20de0f77b391093967e25d01fb48671104b15b
- https://github.com/ultrajson/ultrajson/security/advisories/GHSA-fm67-cv37-96ff
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/NAU5N4A7EUK2AMUCOLYDD5ARXAJYZBD2/
- https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/OPPU5FZP3LCTXYORFH7NHUMYA5X66IA7/