CVE-2018-14632 — Out-of-bounds write in github.com/evanphx/json-patch

描述

A malicious JSON patch can cause a panic due to an out-of-bounds write attempt. This can be used as a denial of service vector if exposed to arbitrary user input.

如何修補 CVE-2018-14632

要修補 CVE-2018-14632,請將受影響套件升級到下列已修補版本。

Go/github.com/evanphx/json-patch—升級至 0.5.2 或更新版本
—升級至 0.5.2 或更新版本

CVE-2018-14632 正在被利用嗎?

低 — EPSS 為 0.5%,目前沒有觀察到大規模利用活動。

受影響套件(2)

from 0, < 0.5.2
from 0, < 0.5.2, >= 3.0.0+incompatible, < 3.0.1-0.20180525145409-4c9aadca8f89+incompatible

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	HIGH7.7	CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:N/A:H

參考連結(12)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2018-14632
PATCHgithub.com/evanphx/json-patch
WEBaccess.redhat.com/errata/RHBA-2018:2652
WEBaccess.redhat.com/errata/RHSA-2018:2654
WEBaccess.redhat.com