目標達成 すべての支援者に感謝 — 100%達成しました!

目標: 1000 CNY · 調達済み: 1336 CNY

100%

CVE-2026-54899— Peter Ohler oj 资源管理错误漏洞

AI Predicted 7.8 Difficulty: Hard EPSS 0.43% · P35

Possible ATT&CK Techniques 1AI

T1203 · Exploitation for Client Execution

Affected Version Matrix 1

ベンダープロダクトVersion Rangeステータス
ohler55oj< 3.17.2affected
新しい脆弱性情報の通知を購読するログインして購読

I. CVE-2026-54899の基本情報

脆弱性情報

脆弱性についてご質問がありますか?Shenlongの分析が参考になるかご確認ください!
Shenlongの10の質問を表示 ↗

高度な大規模言語モデル技術を使用していますが、出力には不正確または古い情報が含まれる可能性があります。Shenlongはデータの正確性を確保するよう努めていますが、実際の状況に基づいて検証・判断してください。

脆弱性タイトル
Oj: Use-After-Free in Oj::Parser Symbol Key Cache Toggle
ソース: NVD (National Vulnerability Database)
脆弱性説明
Oj (Optimized JSON) is a JSON parser and Object marshaller packaged as a Ruby gem. Prior to version 3.17.2, disabling symbol_keys on a reused Oj::Parser instance triggers a heap use-after-free. When symbol_keys is toggled from true to false, opt_symbol_keys_set frees the internal key cache (cache_free) but does not clear the pointer. The next parse call reads from the freed cache via cache_intern, producing a use-after-free. This issue has been fixed in version 3.17.2.
ソース: NVD (National Vulnerability Database)
CVSS情報
N/A
ソース: NVD (National Vulnerability Database)
脆弱性タイプ
释放后使用
ソース: NVD (National Vulnerability Database)
脆弱性タイトル
Peter Ohler oj 资源管理错误漏洞
ソース: CNNVD (China National Vulnerability Database)
脆弱性説明
Peter Ohler oj是Peter Ohler个人开发者的一个高效JSON解析与代码生成的前端库。 Peter Ohler oj 3.17.2之前版本存在资源管理错误漏洞,该漏洞源于在重用Oj::Parser实例时禁用symbol_keys会触发堆释放后重用,当symbol_keys从true切换为false时,opt_symbol_keys_set释放内部键缓存但未清除指针,导致下一次解析调用时从已释放的缓存中读取,产生释放后重用。
ソース: CNNVD (China National Vulnerability Database)
CVSS情報
N/A
ソース: CNNVD (China National Vulnerability Database)
脆弱性タイプ
N/A
ソース: CNNVD (China National Vulnerability Database)

影響を受ける製品

ベンダープロダクト影響を受けるバージョンCPE購読
ohler55oj < 3.17.2 -

II. CVE-2026-54899の公開POC

#POC説明ソースリンクShenlongリンク
AI生成POCプレミアム

公開POCは見つかりませんでした。

ログインしてAI POCを生成

III. CVE-2026-54899のインテリジェンス情報

登录查看更多情报信息。

CVE-2026-54899 厂商安全公告 (1)

Same Patch Batch · ohler55 · 2026-06-30 · 11 CVEs total

CVE-2026-545927.5 HIGHOj: Stack Buffer Overflow in Oj::Doc#each_child via Deeply Nested Input
CVE-2026-545005.3 MEDIUMOj: intern.c form_attr has an uninitialized stack read
CVE-2026-54897Oj : Use-After-Free in Oj::Doc Iterators via Reentrant Close
CVE-2026-54903Oj: Integer Overflow in Oj.load 2GB String Handling
CVE-2026-54902Oj: Use-After-Free in Oj::Parser SAJ Long Key Callback
CVE-2026-54901Oj: Use-After-Free in Oj::Parser array_class/hash_class GC Marking
CVE-2026-54900Oj: Negative-Size memcpy in Oj::Parser create_id Attribute Handling
CVE-2026-54896Oj: Heap Buffer Overflow in Oj.dump Exception Serialization via Large Indent
CVE-2026-54502Oj: Stack Buffer Overflow in Oj.dump via Large Indent
CVE-2026-54898Oj: Use-After-Free in Oj::Parser SAJ Callback via Input Mutation

IV. 関連脆弱性

V. CVE-2026-54899へのコメント

まだコメントはありません


コメントを残す