Inolen

Nome do software vulnerável e versões afetadas: Versões do Nanopb anteriores à 0.4.9.1 Descrição: O problema ocorre quando a opção de tempo de compilação PB ENABLE MALLOC está ativada, a mensagem contém pelo menos um campo com o tipo de campo `FT POINTER`, um callback de fluxo personalizado é usado com comprimento de fluxo desconhecido e a função `pb decode ex()` é usada com o sinalizador `PB DECODE DELIMITED`. Isso pode levar a um vazamento de memória e a um potencial ataque de negação de serviço. Recomendações: Para versões anteriores à 0.4.9.1, atualize para a versão 0.4.9.1 para resolver o problema. Como solução temporária, considere desativar a função `pb decode ex()` com o sinalizador `PB DECODE DELIMITED` até que um patch esteja disponível. Restrinja o uso de callbacks de fluxo personalizados com comprimentos de fluxo desconhecidos para minimizar o risco de exploração. Evite usar o tipo de campo `FT POINTER` em mensagens até que o problema seja resolvido.