Micronaut Framework — это полнофункциональная Java-инфраструктура на основе JVM, предназначенная для создания модульных, легко тестируемых JVM-приложений. Версии до 4.10.16 и 3.10.5 неправильно обрабатывают нисходящий порядок индексов массива во время привязки тела с кодом формы в JsonBeanPropertyBinder::expandArrayToThreshold, что позволяет удаленным злоумышленникам вызывать DoS (непрерывный цикл, исчерпание ресурсов ЦП и OutOfMemoryError) через созданные индексированные параметры формы (например,authors[1].name, за которым следуютauthors[0].name). Эта проблема исправлена в версиях 4.10.16 и 3.10.5.
Показать оригинальное описание (EN)
Micronaut Framework is a JVM-based full stack Java framework designed for building modular, easily testable JVM applications. Versions prior to both 4.10.16 and 3.10.5 do not correctly handle descending array index order during form-urlencoded body binding in theJsonBeanPropertyBinder::expandArrayToThreshold, which allows remote attackers to cause a DoS (non-terminating loop, CPU exhaustion, and OutOfMemoryError) via crafted indexed form parameters (e.g., authors[1].name followed by authors[0].name). This issue has been fixed in versions 4.10.16 and 3.10.5.
Характеристики атаки
Последствия
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 2
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Objectcomputing Micronaut
cpe:2.3:a:objectcomputing:micronaut:*:*:*:*:*:*:*:*
|
— |
3.10.5
|
|
Objectcomputing Micronaut
cpe:2.3:a:objectcomputing:micronaut:*:*:*:*:*:*:*:*
|
4.0.0
|
4.10.16
|