CVE-2026-49451
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 48 — wyżej niż 48% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Microsoft.OpenApi (OpenAPI.NET SDK) pozwala na przerwanie działania procesu przez przepełnienie stosu podczas parsowania dokumentu OpenAPI z cyklicznym odwołaniem do schematu. Problem występuje w wersjach od 2.0.0-preview11 do 2.7.5 i 3.5.4, dotyczy zarówno czytników JSON, jak i YAML.
Ocena ryzyka
Atakujący może wysłać specjalnie spreparowany dokument OpenAPI, powodując awarię aplikacji (DoS) poprzez przepełnienie stosu, co prowadzi do przerwania działania usługi.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę Microsoft.OpenApi do wersji 2.7.5 lub 3.5.4, w zależności od używanej gałęzi.
Oryginalny opis (angielski, źródło NVD)
The OpenAPI.NET SDK contains a useful object model for OpenAPI documents in .NET along with common serializers to extract raw OpenAPI JSON and YAML documents from the model. From 2.0.0-preview11 until 2.7.5 and 3.5.4, a small OpenAPI document containing a circular schema reference can cause process termination through stack overflow in Microsoft.OpenApi. The issue affects OpenAPI document parsing through public OpenAPI.NET reader APIs and has been confirmed across both JSON and YAML reader paths. This vulnerability is fixed in 2.7.5 and 3.5.4.

