Yuliyu123

**Nome do Software Vulnerável e Versões Afetadas** go-ipld-prime versões anteriores a 0.23.0 **Description** Os decodificadores DAG-CBOR e DAG-JSON realizam recursão em cada mapa ou lista aninhada sem um limite de profundidade. Uma carga útil contendo coleções profundamente aninhadas faz com que o decodificador recursa uma vez por nível, expandindo a pilha da goroutine até que o runtime do Go termine o processo com um estouro de pilha (stack overflow) fatal. Para o DAG-CBOR, uma carga útil de aproximadamente 2 MB, consistindo de bytes `0x81` repetidos seguidos por um terminador, pode esgotar a pilha padrão de 1 GB da goroutine. O DAG-JSON está exposto de forma semelhante através de cargas úteis no estilo `[[[...]]]`. A decodificação sem esquema usando `basicnode.Prototype.Any` permite profundidade de aninhamento arbitrária, enquanto a decodificação vinculada ao esquema apenas limita o aninhamento se o esquema não for recursivo e não contiver campos do tipo `Any`. **Recommendations** Atualize para a versão 0.23.0.

Name of the Vulnerable Software and Affected Versions go-ipld-prime versões anteriores a 0.22.0 Description O decodificador DAG-CBOR do go-ipld-prime não limita o tamanho das pré-alocações para mapas e listas com base nos cabeçalhos CBOR, o que pode levar à alocação excessiva de memória a partir de cargas úteis pequenas. Estruturas aninhadas podem exacerbar esse problema, causando alocações superiores a 9GB a partir de cargas úteis com menos de 100 bytes. O decodificador usa tamanhos de coleção dos cabeçalhos CBOR como dicas de pré-alocação para mapas e listas Go, sem considerar o custo em seu orçamento de alocação. Recommendations Atualize para a versão 0.22.0 ou posterior.