skip to content
今日の脆弱性
Table of Contents

概要

本日(2026年7月1日)公開された重要脆弱性として、RubyのJSONパーサーojにおけるサービス運用妨害(DoS)の脆弱性1件が確認されました。この脆弱性はCVSSスコア7.5(High)と評価されており、迅速な対応が求められます。

CVE-2026-54592: Ruby JSONパーサー oj のサービス運用妨害 (DoS) 脆弱性

  • CVSS: 7.5 (High)
  • 影響: ohler55 / oj — versions: < 3.17.3

概要

Ruby gemとして提供されるJSONパーサー「Oj (Optimized JSON)」において、バージョン3.17.3未満にスタックバッファオーバーフローの脆弱性が存在します。Oj::Doc#each_childが深くネストされたJSONドキュメントに対して再帰的に呼び出されると、固定サイズのスタックバッファをオーバーフローさせ、プロセスを異常終了させます。これにより、リモートの攻撃者がサービス運用妨害(DoS)を引き起こす可能性があります。

推奨対応

本脆弱性はバージョン3.17.3で修正されています。影響を受けるユーザーは、速やかにohler55/ojをバージョン3.17.3以降にアップデートしてください。アップデートが困難な場合、深くネストされたJSON入力の検証・制限を検討してください。

参考

出典