9Bakabaka

**Nome do Software Vulnerável e Versões Afetadas** bird-lg-go versões anteriores a 1.4.5 **Descrição** As funções `apiHandler` e `webHandlerTelegramBot` processam payloads JSON fornecidos pelo usuário utilizando `json.NewDecoder(r.Body).Decode(&request)` sem restringir o tamanho máximo de leitura. Um invasor remoto não autenticado pode transmitir um payload JSON extremamente grande ou infinito através de uma única conexão TCP. Como o decodificador JSON do Go tenta alocar memória para toda a estrutura analisada, isso pode esgotar a RAM física do host ou os limites do container, disparando um erro fatal de falta de memória (out of memory) em tempo de execução. Isso leva o Linux OOM Killer a encerrar o daemon, resultando em uma Negação de Serviço Remota (RDoS). **Recomendações** Atualize para a versão 1.4.5.