发稿赚钱
文章
文章用户黑客集市安全文库快讯黑客圈

【漏洞发现】|多个严重CVE漏洞被发现,系内存类安全漏洞

释放双眼,带上耳机,听听看~!

图片

1.漏洞描述

近日,云起无垠的无垠代码模糊测试系统通过对json parse库、MojoJson进行检测发现多个CVE漏洞,漏洞编号为:CVE-2023-23083 ~ CVE-2023-23088,该系列漏洞皆为内存类漏洞,漏洞允许攻击者执行恶意代码进行攻击,从而造成严重后果。其中,CVE-2023-23086~CVE-2023-23088已公开。

MojoJson 是一个极其简单且超快速的JSON 解析器。解析器支持解析Json 格式,并提供简单的API 来访问不同类型的 Json 值。此外,核心算法可以很容易地用各种编程语言实现。
JSON.parse()是Javascript中一个常用的 JSON 转换方法,JSON.parse()可以把JSON规则的字符串转换为JSONObject,JSON.parse()很方便,并且几乎支持所有浏览器。
针对此类漏洞,无垠代码模糊测试系统均给出了相应建议。

2.漏洞详情

① CVE-2023-23086 func SkipString中堆缓冲区溢出
MojoJson v1.2.3中的缓冲区溢出漏洞允许攻击者通过SkipString函数执行任意代码。
漏洞等级:严重;CVSS v3.1漏洞评分:9.8
检测截图:

② CVE-2023-23087 函数Destory中指针错误
在MojoJson v1.2.3中发现了一个问题,允许攻击者通过destroy函数执行任意代码。
漏洞等级:严重;CVSS v3.1漏洞评分:9.8
检测截图:

③ CVE-2023-23088 json_value_parse堆缓冲区溢出
Barenboim json-parser master和v1.1.0中的缓冲区溢出漏洞已在v1.1.1中修复,允许攻击者通过json_value_parse函数执行任意代码。
漏洞等级:严重;CVSS v3.1漏洞评分:9.8
检测截图:

3.解决方案

无垠代码模糊测试系统针对每一个CVE漏洞都给出了处置方案,可参照如上截图细看。

4.无垠代码模糊测试系统

无垠代码模糊测试系统是一款基于Fuzzing技术研发的灰盒检测工具,通过它不仅可以发现逻辑类漏洞,还能找到内存破坏的漏洞,比如缓冲区溢出、内存泄露、条件竞争等。该产品技术基于海量测试用例,融合覆盖引导、人工智能AI等关键技术,赋能软件开发的开发、测试、运维、部署等阶段,在软件上线之前发现已知及未知漏洞,可以更好的防止业务系统带病上线。
参考链接:
https://nvd.nist.gov/vuln/detail/CVE-2023-23086
https://github.com/scottcgi/MojoJson/issues/2
https://nvd.nist.gov/vuln/detail/CVE-2023-23087
https://github.com/scottcgi/MojoJson/issues/3
https://nvd.nist.gov/vuln/detail/CVE-2023-23088
https://github.com/Barenboim/json-parser/issues/7
云起无垠(https://www.clouitera.com)是新一代智能模糊测试领跑者,采用新一代Fuzzing技术全流程赋能软件供应链与开发安全,基于智能模糊测试引擎为协议、代码、数据库、API、Web3.0等应用提供强大的软件安全自动化分析能力,从源头助力企业自动化检测并助其修复业务系统安全问题,为每行代码安全运行保驾护航。

 

文章最后更新于 2023-02-25

给TA买糖
共{{data.count}}人
人已赞赏
Fuzzing漏洞
云起FuzzCon
国内首创的Fuzzing 全流程赋能开发安全-DevSecOps 解决方案 基于智能模糊测试引擎为协议、数据库、API、APP、Web3.0 等场景提供强大的软件安全自动化分析能力,从源头助力企业自动化检测与修复业务系统安全问题,为互联网每行代码的安全运行保驾护航。 让软件更安全,让安全更智能。
167篇作品188,943总阅读量
行业热点

内存安全周报第127期 |微软修复了三个被利用的0Day漏洞

2023-2-22 20:54:27

行业热点

安芯网盾入选国家工信安全中心“久安计划”首批合作伙伴

2023-2-25 19:47:47

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

  • 扫码打开当前页

  • 微信公众号

  • 指尖安全头条号

返回顶部