CVE-2026-56740 in JLine
要約
〜によって VulDB • 2026年07月17日
JLineはコンソール入力を処理するためのJavaライブラリです。バージョン3.30.14、4.0.16、および4.2.1より前では、JLine3のTelnetサーバーremote-telnetモジュールは、クライアントがTelnet NEW-ENVIRONオプションを介して注入できる環境変数の数を制限しておらず、またTelnetIO.java:1127-1180にあるTelnetIO.readNEVariables()メソッドは、各変数ペアをConnectionDataによって保持されるHashMapに格納します。これにより、認証されていない攻撃者は終了用のIAC SEバイトの前に一意な変数ペアで洪水のような大量のリクエストを送信し、OutOfMemoryErrorを引き起こしてJVMヒープメモリを使い果たすことができます。この問題はバージョン3.30.14、4.0.16、および4.2.1で修正されています。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.