Katalog CVE

CVE-2026-48510

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.24%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

MessagePack dla C# ma podatność, która pozwala na nieprawidłowe alokacje pamięci podczas dekompresji danych Lz4Block lub Lz4BlockArray. Przed wersjami 2.5.301 i 3.1.7, nie weryfikowano poprawności danych skompresowanych przed alokacją buforów wyjściowych.

Ocena ryzyka

Podatność ta może prowadzić do ataków typu Denial of Service (DoS) poprzez nadmierne wykorzystanie pamięci, co może wpłynąć na dostępność aplikacji.

Rekomendacja

Zaleca się aktualizację do wersji 2.5.301 lub 3.1.7, aby usunąć tę podatność i zabezpieczyć aplikację przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

MessagePack for C# is a MessagePack serializer for C#. Prior to 2.5.301 and 3.1.7, when MessagePack-CSharp decompresses Lz4Block or Lz4BlockArray payloads, it reads declared uncompressed lengths from the wire and allocates output buffers based on those lengths before validating that the compressed data is valid or that the declared expansion is reasonable. A small payload can claim a very large uncompressed length and force a large allocation before LZ4 decoding begins. This vulnerability is fixed in 2.5.301 and 3.1.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS