安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
多个严重CVE漏洞被发现,系内存类安全漏洞
2023-02-22 11:27:12 【

    1.漏洞描述

    近日,云起无垠的无垠代码模糊测试系统通过对json parse库、MojoJson进行检测发现多个CVE漏洞,漏洞编号为:CVE-2023-23083 ~ CVE-2023-23088,该系列漏洞皆为内存类漏洞,漏洞允许攻击者执行恶意代码进行攻击,从而造成严重后果。其中,CVE-2023-23086~CVE-2023-23088已公开。

    MojoJson 是一个极其简单且超快速的JSON 解析器。解析器支持解析Json 格式,并提供简单的API 来访问不同类型的 Json 值。此外,核心算法可以很容易地用各种编程语言实现。

    JSON.parse()是java script中一个常用的 JSON 转换方法,JSON.parse()可以把JSON规则的字符串转换为JSONObject,JSON.parse()很方便,并且几乎支持所有浏览器。

    针对此类漏洞,无垠代码模糊测试系统均给出了相应建议。

     

    2.漏洞详情

    ① CVE-2023-23086 func SkipString中堆缓冲区溢出

    MojoJson v1.2.3中的缓冲区溢出漏洞允许攻击者通过SkipString函数执行任意代码。

    漏洞等级:严重;CVSS v3.1漏洞评分:9.8

    检测截图:

    

    

    ② CVE-2023-23087 函数Destory中指针错误

    在MojoJson v1.2.3中发现了一个问题,允许攻击者通过destroy函数执行任意代码。

    漏洞等级:严重;CVSS v3.1漏洞评分:9.8

    检测截图:

    

    

    ③ CVE-2023-23088 json_value_parse堆缓冲区溢出

    Barenboim json-parser master和v1.1.0中的缓冲区溢出漏洞已在v1.1.1中修复,允许攻击者通过json_value_parse函数执行任意代码。

    漏洞等级:严重;CVSS v3.1漏洞评分:9.8

    检测截图:

    

    

     

    3.解决方案

    无垠代码模糊测试系统针对每一个CVE漏洞都给出了处置方案,可参照如上截图细看。

    无垠代码模糊测试系统

    无垠代码模糊测试系统是一款基于Fuzzing技术研发的灰盒检测工具,通过它不仅可以发现逻辑类漏洞,还能找到内存破坏的漏洞,比如缓冲区溢出、内存泄露、条件竞争等。该产品技术基于海量测试用例,融合覆盖引导、人工智能AI等关键技术,赋能软件开发的开发、测试、运维、部署等阶段,在软件上线之前发现已知及未知漏洞,可以更好的防止业务系统带病上线。

    

】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇每天感染50000台设备,“Mylobot.. 下一篇CVE-2023-24055 KeePass敏感信息..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800