CVE-2026-46385
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 - wyżej niż 30% wszystkich znanych CVE
Streszczenie
W bibliotece iskorotkov/avro dla Go wykryto podatność na zdalną odmowę usługi (DoS). Dekodery tablic i map wykonują nieskończoną pętlę na podstawie kontrolowanej przez atakującego wartości licznika bloków, nie sprawdzając stanu błędu czytnika. Pozwala to na wysłanie złośliwego ładunku, który powoduje zajęcie rdzenia procesora aż do zabicia procesu.
Ocena ryzyka
Organizacja narażona jest na atak DoS, który może unieruchomić aplikację korzystającą z podatnej wersji biblioteki. Atak nie wymaga uwierzytelnienia i może być przeprowadzony zdalnie, prowadząc do wyczerpania zasobów (CPU, pamięć) i przerwania działania usługi.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę iskorotkov/avro do wersji 2.33.0 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
iskorotkov/avro is a fast Go Avro codec. Prior to 2.33.0, the Avro array and map decoders looped over an attacker-controlled block-count value without checking the underlying reader's error state inside the loop body. Reader.ReadBlockHeader returns the count as a Go int, which is 64-bit on amd64 / arm64 targets — so a producer can declare a block of up to math.MaxInt64 (~9.2 × 10¹⁸) elements followed by EOF (or any truncated payload), and the decoder will attempt that many no-op iterations before propagating the error. The realistic ceiling is "indefinite until the worker is killed externally" — a single hostile payload pins a CPU core until the process is OOM-killed, deadline-cancelled, or terminated. Remote, unauthenticated denial-of-service. This vulnerability is fixed in 2.33.0.

