1.漏洞描述

近日，云起無(wú)垠的無(wú)垠代碼模糊測(cè)試系統(tǒng)通過(guò)對(duì)json parse庫(kù)、MojoJson進(jìn)行檢測(cè)發(fā)現(xiàn)多個(gè)CVE漏洞，漏洞編號(hào)為：CVE-2023-23083 ~ CVE-2023-23088，該系列漏洞皆為內(nèi)存類漏洞，漏洞允許攻擊者執(zhí)行惡意代碼進(jìn)行攻擊，從而造成嚴(yán)重后果。其中，CVE-2023-23086~CVE-2023-23088已公開(kāi)。

MojoJson 是一個(gè)極其簡(jiǎn)單且超快速的JSON 解析器。解析器支持解析Json 格式，并提供簡(jiǎn)單的API 來(lái)訪問(wèn)不同類型的 Json 值。此外，核心算法可以很容易地用各種編程語(yǔ)言實(shí)現(xiàn)。

JSON.parse()是Javascript中一個(gè)常用的 JSON 轉(zhuǎn)換方法，JSON.parse()可以把JSON規(guī)則的字符串轉(zhuǎn)換為JSONObject，JSON.parse()很方便，并且?guī)缀踔С炙袨g覽器。

針對(duì)此類漏洞，無(wú)垠代碼模糊測(cè)試系統(tǒng)均給出了相應(yīng)建議。

2.漏洞詳情