Katalog CVE

CVE-2026-48516

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 - wyżej niż 14% wszystkich znanych CVE

Streszczenie

W bibliotece MessagePack dla C# występuje podatność, która dotyczy konstrukcji wewnętrznego słownika z domyślnym porównywaczem równości. Wersje przed 2.5.301 i 3.1.7 są narażone na atak typu denial of service z wykorzystaniem kolizji haszów.

Ocena ryzyka

Organizacje mogą doświadczyć ataków denial of service, które mogą prowadzić do znacznych przestojów w działaniu aplikacji, nawet jeśli zastosowano zabezpieczenia dotyczące nieufnych danych.

Rekomendacja

Zaleca się aktualizację do wersji 2.5.301 lub 3.1.7, aby usunąć tę podatność i zabezpieczyć aplikacje przed potencjalnymi atakami.

Oryginalny opis (angielski, źródło NVD)

MessagePack for C# is a MessagePack serializer for C#. Prior to 2.5.301 and 3.1.7, InterfaceLookupFormatter<TKey,TElement> constructs an internal Dictionary<TKey, IGrouping<TKey,TElement>> with the default equality comparer instead of the security-aware comparer supplied by options.Security.GetEqualityComparer<TKey>(). This formatter omission allows hash-collision CPU denial of service against ILookup<TKey,TElement> even when the application has opted into the untrusted-data security posture This vulnerability is fixed in 2.5.301 and 3.1.7.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS