jackson-core содержит основные низкоуровневые инкрементальные («потоковые») абстракции синтаксического анализатора и генератора, используемые Jackson Data Processor. Начиная с версии 3.0.0 и до версии 3.1.0, UTF8DataInputJsonParser, который используется при анализе источника java.io.DataInput, обходит ограничение maxNestingDepth (по умолчанию: 500), определенное в StreamReadConstraints. Аналогичная проблема была обнаружена в ReaderBasedJsonParser.
Это позволяет пользователю предоставлять документ JSON с чрезмерной вложенностью, что может вызвать ошибку StackOverflowError при обработке структуры, что приведет к отказу в обслуживании (DoS). Эта проблема исправлена в версии 3.1.0.
Показать оригинальное описание (EN)
jackson-core contains core low-level incremental ("streaming") parser and generator abstractions used by Jackson Data Processor. From version 3.0.0 to before version 3.1.0, the UTF8DataInputJsonParser, which is used when parsing from a java.io.DataInput source, bypasses the maxNestingDepth constraint (default: 500) defined in StreamReadConstraints. A similar issue was found in ReaderBasedJsonParser. This allows a user to supply a JSON document with excessive nesting, which can cause a StackOverflowError when the structure is processed, leading to a Denial of Service (DoS). This issue has been patched in version 3.1.0.
Характеристики атаки
Последствия
Строка CVSS v4.0