Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatność w bibliotece simdjson
14 maja 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-8295
Data publikacji 14 maja 2026
Producent podatnego oprogramowania simdjson
Nazwa podatnego oprogramowania simdjson
Podatne wersje Wszystkie poniżej 4.6.4
Typ podatności (CWE) Integer Overflow or Wraparound (CWE-190)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatności w bibliotece simdjson i koordynował proces ujawniania informacji.

Podatność CVE-2026-8295: Podatność typu integer overflow w API kreatora dokumentów biblioteki simdjson umożliwia nieprawidłowe obliczenia rozmiaru bufora w funkcji string_builder::escape_and_append() podczas przetwarzania bardzo dużych ciągów wejściowych na platformach z ograniczoną szerokością typu size_t (np. kompilacje 32-bitowe). Przepełnienie może prowadzić do przydzielenia zbyt małego bufora, co skutkuje odczytami pamięci poza przydzielonym zakresem w procedurach SIMD i potencjalnie może powodować ujawnienie informacji, uszkodzenie pamięci lub wygenerowanie nieprawidłowego wyjścia w formacie JSON.

Podatność została naprawiona w wersji 4.6.4.

Podziękowania

Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi oraz Marcinowi Wyczechowskiemu z zespołu AFINE.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.