Katalog CVE

CVE-2026-48506

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 - wyżej niż 21% wszystkich znanych CVE

Streszczenie

MessagePack dla C# ma podatność, która pozwala na rekurencyjne zstępowanie w głąb zagnieżdżonych tablic i map bez odpowiednich kontroli głębokości. Może to prowadzić do nieograniczonej rekurencji i wyjątku StackOverflow.

Ocena ryzyka

Organizacje mogą napotkać problemy z wydajnością lub awarie aplikacji z powodu niekontrolowanej rekurencji, co może prowadzić do przerwy w działaniu usług.

Rekomendacja

Zaleca się aktualizację do wersji 2.5.301 lub 3.1.7, aby usunąć tę podatność i zapewnić odpowiednie kontrole głębokości w zagnieżdżonych strukturach danych.

Oryginalny opis (angielski, źródło NVD)

MessagePack for C# is a MessagePack serializer for C#. Prior to 2.5.301 and 3.1.7, MessagePackReader.TrySkip() recursively descends into nested arrays and maps without incrementing the reader depth or calling the configured depth checks. This bypasses MessagePackSecurity.MaximumObjectGraphDepth, the library's documented protection against deeply nested object graphs. Many generated and dynamic formatters call reader.Skip() when they encounter unknown map keys, unknown array members, ignored fields, or data that should be skipped for forward compatibility. A deeply nested value in one of these skipped positions can therefore cause unbounded recursion and an uncatchable StackOverflowException. This vulnerability is fixed in 2.5.301 and 3.1.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS