目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-54897— Peter Ohler oj 资源管理错误漏洞

AI Predicted 8.1 Difficulty: Moderate EPSS 0.12% · P2

Possible ATT&CK Techniques 1AI

T1203 · Exploitation for Client Execution

Affected Version Matrix 1

ベンダープロダクトVersion Rangeステータス
ohler55oj< 3.17.2affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-54897の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Oj : Use-After-Free in Oj::Doc Iterators via Reentrant Close
ソース: NVD (National Vulnerability Database)
脆弱性説明
Oj (Optimized JSON) is a JSON parser and Object marshaller packaged as a Ruby gem. Prior to 3.17.2, Oj::Doc iterators (each_value, each_child, each_leaf) were vulnerable to a heap use-after-free. When a Ruby block yielded during iteration calls doc.close or d.close, the document's heap memory is freed while the C iterator is still running. When control returns from the block, the iterator reads from the freed region, producing a use-after-free accessible from pure Ruby. This issue has been fixed in version 3.17.2.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
释放后使用
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Peter Ohler oj 资源管理错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Peter Ohler oj是Peter Ohler个人开发者的一个高效JSON解析与代码生成的前端库。 Peter Ohler oj 3.17.2之前版本存在资源管理错误漏洞,该漏洞源于Oj::Doc迭代器(each_value, each_child, each_leaf)存在堆释放后重用。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
ohler55oj < 3.17.2 -

II. CVE-2026-54897の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-54897のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-54897 厂商安全公告 (1)

Same Patch Batch · ohler55 · 2026-06-30 · 11 CVEs total

CVE-2026-545927.5 HIGHOj: Stack Buffer Overflow in Oj::Doc#each_child via Deeply Nested Input
CVE-2026-545005.3 MEDIUMOj: intern.c form_attr has an uninitialized stack read
CVE-2026-54903Oj: Integer Overflow in Oj.load 2GB String Handling
CVE-2026-54899Oj: Use-After-Free in Oj::Parser Symbol Key Cache Toggle
CVE-2026-54902Oj: Use-After-Free in Oj::Parser SAJ Long Key Callback
CVE-2026-54901Oj: Use-After-Free in Oj::Parser array_class/hash_class GC Marking
CVE-2026-54900Oj: Negative-Size memcpy in Oj::Parser create_id Attribute Handling
CVE-2026-54896Oj: Heap Buffer Overflow in Oj.dump Exception Serialization via Large Indent
CVE-2026-54502Oj: Stack Buffer Overflow in Oj.dump via Large Indent
CVE-2026-54898Oj: Use-After-Free in Oj::Parser SAJ Callback via Input Mutation

IV. 関連脆弱性

V. CVE-2026-54897へのコメント

まだコメントはありません


コメントを残す