Eclipse - CVE-2026-9563

Date de publication :

Il s'agit d'une vulnérabilité dans le parseur JSON de la bibliothèque Eclipse Parsson.

Eclipse Parsson est une bibliothèque Java implémentant l'API Jakarta JSON Processing, utilisée pour analyser et générer des documents JSON au sein d'applications Java.

Le parseur n'appliquait aucune limite maximale par défaut sur le nombre de caractères consommés lors de l'analyse d'un document JSON unique. Une application traitant du JSON contrôlé par un attaquant peut ainsi être contrainte de consommer une quantité excessive de CPU et de mémoire en traitant des documents très volumineux, incluant de grands tableaux, objets, chaînes de caractères, nombres, espaces blancs ou structures imbriquées. Les tests montrent que le parseur consomme environ 7 à 8 fois la taille du JSON traité en mémoire, ce qui permet de saturer un tas de 512 Mo avec un fichier JSON de 100 Mo. Ce comportement est particulièrement problématique pour les services exposant des points de terminaison REST publics acceptant le type de contenu application/json.

Elle permet un déni de service.

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Non

Risques

Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-400 : Uncontrolled Resource Consumption

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Faible
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

Eclipse Parsson versions antérieures à 1.1.8

Solutions ou recommandations

Eclipse Parsson versions 1.1.8 et supérieures introduisent une limite de parsing configurable, fixée par défaut à 15 millions de caractères consommés par le parseur.