2026 年 07 月 01 日の重要脆弱性: Ruby JSONパーサー `oj` の DoS (1 件)
/ 2 min read
Table of Contents
概要
本日(2026年7月1日)公開された重要脆弱性として、RubyのJSONパーサーojにおけるサービス運用妨害(DoS)の脆弱性1件が確認されました。この脆弱性はCVSSスコア7.5(High)と評価されており、迅速な対応が求められます。
CVE-2026-54592: Ruby JSONパーサー oj のサービス運用妨害 (DoS) 脆弱性
- CVSS: 7.5 (High)
- 影響: ohler55 / oj — versions: < 3.17.3
概要
Ruby gemとして提供されるJSONパーサー「Oj (Optimized JSON)」において、バージョン3.17.3未満にスタックバッファオーバーフローの脆弱性が存在します。Oj::Doc#each_childが深くネストされたJSONドキュメントに対して再帰的に呼び出されると、固定サイズのスタックバッファをオーバーフローさせ、プロセスを異常終了させます。これにより、リモートの攻撃者がサービス運用妨害(DoS)を引き起こす可能性があります。
推奨対応
本脆弱性はバージョン3.17.3で修正されています。影響を受けるユーザーは、速やかにohler55/ojをバージョン3.17.3以降にアップデートしてください。アップデートが困難な場合、深くネストされたJSON入力の検証・制限を検討してください。