layout: news_post

title: "CVE-2020-10663: Vulnerabilidad de Creación Insegura de Objetos en JSON (Corrección adicional)"

author: "mame"

translator: "vtamara"

date: 2020-03-19 13:00:00 +0000

tags: security

lang: es

Hay una vulnerabilidad en la creación insegura de objetos en la gema json

distribuida con Ruby. A esta vulnerabilidad se le ha asignado el

identificador CVE [CVE-2020-10663](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10663).

Recomendamos enfáticamente actualizar la gema json.

Cuando se reconocen ciertos documentos JSON, la gema json (incluyendo la

que se distribuye con Ruby) puede obligarse a crear objetos arbitrarios

en el sistema.

Este es el mismo problema del [CVE-2013-0269](https://www.ruby-lang.org/en/news/2013/02/22/json-dos-cve-2013-0269/).

La corrección anterior estuvo incompleta, pues tuvo en cuenta

`JSON.parse(datos_usuario)`, pero no tuvo en cuenta otros estilos de

reconocimiento JSON incluyendo `JSON(datos_usuario)` y

`JSON.parse(datos_usuario, nil)`.

Ver detalles en [CVE-2013-0269](https://www.ruby-lang.org/en/news/2013/02/22/json-dos-cve-2013-0269/).

Note que el problema podía explotarse para causar un Denegación de Servicio

al crear muchos objetos Symbol que no podían ser recolectados por

el recolector de basura, pero ese tipo de ataque ya no es viable

porque los objetos Symbol ahora puede ser procesados por el recolector

de basura.

Sin embargo, la posibilidad de crear objetos arbitrarios puede

tener graves consecuencias de seguridad dependiendo del código de la

aplicación.

Por favor actualice la gem json a la verisón 2.3.0 o posterior. Para

actualizar puede usar `gem update json`.

Si está usando bundler, por favro añada `gem "json", ">= 2.3.0"` a

sus `Gemfile`.

* gem JSON 2.2.0 y previas

Agradecemos a Jeremy Evans por descubrir este problema.

* Publicado originalmente el 2020-03-19 13:00:00 (UTC)