Katalog CVE

CVE-2026-49451

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.70%

Percentyl 48 — wyżej niż 48% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece Microsoft.OpenApi (OpenAPI.NET SDK) pozwala na przerwanie działania procesu przez przepełnienie stosu podczas parsowania dokumentu OpenAPI z cyklicznym odwołaniem do schematu. Problem występuje w wersjach od 2.0.0-preview11 do 2.7.5 i 3.5.4, dotyczy zarówno czytników JSON, jak i YAML.

Ocena ryzyka

Atakujący może wysłać specjalnie spreparowany dokument OpenAPI, powodując awarię aplikacji (DoS) poprzez przepełnienie stosu, co prowadzi do przerwania działania usługi.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę Microsoft.OpenApi do wersji 2.7.5 lub 3.5.4, w zależności od używanej gałęzi.

Oryginalny opis (angielski, źródło NVD)

The OpenAPI.NET SDK contains a useful object model for OpenAPI documents in .NET along with common serializers to extract raw OpenAPI JSON and YAML documents from the model. From 2.0.0-preview11 until 2.7.5 and 3.5.4, a small OpenAPI document containing a circular schema reference can cause process termination through stack overflow in Microsoft.OpenApi. The issue affects OpenAPI document parsing through public OpenAPI.NET reader APIs and has been confirmed across both JSON and YAML reader paths. This vulnerability is fixed in 2.7.5 and 3.5.4.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS