特定のJSONドキュメントを解析する際に、 json gem（Rubyにバンドルされたものを含む）は、ターゲットシステムで任意のオブジェクトの作成を強制される可能性があります。

これはCVE-2013-0269と同じ問題です。以前の修正は不完全であり、JSON.parse（user_input）に対処していましたが、JSON（user_input）およびJSON.parse（user_input、nil）を含むその他のスタイルのJSON解析には対処していませんでした。

CVE-2013-0269の詳細を参照してください。注意：この問題は、多くのガベージコレクション不能なシンボルオブジェクトを作成することで、サービス拒否を引き起こすために悪用できましたが、現在はシンボルオブジェクトがガベージコレクションに対応しているため、この種の攻撃は無効になっています。ただし、任意のオブジェクトを作成すると、アプリケーションコードによっては、重大なセキュリティ問題が発生する可能性があります。

json gemをバージョン2.3.0以降に更新してください。gem update jsonを使用して更新できます。バンドラーを使用している場合は、gem「json」、「'>= 2.3.0」をGemfileに追加してください。

検出

FreeBSD：rubygem-json -- JSONにおける安全ではないオブジェクト作成の脆弱性（追加修正）（40194e1c-6d89-11ea-8082-80ee73419af3）

high Nessus プラグイン ID 134921

バージョン 1.5