Lift JsonParser类缓冲区溢出漏洞

漏洞信息详情

Lift JsonParser类缓冲区溢出漏洞

• CNNVD编号：CNNVD-201307-599
• 危害等级： 中危
  
  
• CVE编号：
  CVE-2013-3300
  
• 漏洞类型：
  
  
  缓冲区溢出
  
• 发布时间：
  
  2013-07-31
  
• 威胁类型：
  
  
  远程
  
• 更新时间：
  
  2013-07-31
  
• 厂        商：
  
  liftweb
• 漏洞来源：

Lift是Lift团队开发的一个基于Scala编程语言的Web框架，使用Apache 2.0 license许可发布。该框架支持开发者创建实时交互应用，并具有高性能和可扩展的特点。

Lift 2.5：rc6及之前的版本中的json/JsonParser.scala文件中的JsonParser类中存在安全漏洞，该漏洞源于解释最终索引值为长度值。远程经过授权的攻击者可通过发送包含‘＜’（小于）字符有效的输入数据到解析器，利用该漏洞获得其他用户会话的敏感信息。

目前厂商已经发布了升级补丁以修复此安全问题，补丁获取链接：

http://blog.addepar.com/2013/07/an-atypical-web-vulnerability.html

来源: github.com

链接:https://github.com/lift/framework/commit/099d9c86cf6d81f4953957add478ab699946e601

来源: blog.addepar.com

链接:http://blog.addepar.com/2013/07/an-atypical-web-vulnerability.html