Newtonsoft · Newtonsoft.Json · CVE-2024-21907
**Nome do software vulnerável e versões afetadas**
Versões do Newtonsoft.Json anteriores à 13.0.1
**Descrição**
O problema está relacionado a uma vulnerabilidade decorrente do tratamento inadequado de condições excepcionais na biblioteca Newtonsoft.Json. Dados maliciosos passados ao método `JsonConvert.DeserializeObject` podem desencadear uma exceção de StackOverflow, resultando em negação de serviço. Dependendo do uso da biblioteca, um invasor remoto e não autenticado pode ser capaz de causar a condição de negação de serviço. A vulnerabilidade pode ser explorada passando dados JSON altamente aninhados, o que pode causar alto uso de CPU e RAM ou uma exceção StackOverflow.
**Recomendações**
Para mitigar o problema, atualize o Newtonsoft. Json para a versão 13.0.1 ou defina o parâmetro `MaxDepth` em `JsonSerializerSettings` para um valor adequado, como 128, para evitar aninhamento excessivo. Isso pode ser feito globalmente com a seguinte instrução:
`JsonConvert.DefaultSettings = () => new JsonSerializerSettings { MaxDepth = 128 };`