Versões da biblioteca CBOR anteriores à 4.0

O problema diz respeito ao tratamento, pela biblioteca CBOR, de tags opcionais que permitem que objetos CBOR contenham referências a outros objetos dentro deles. Em versões anteriores à 4.0, a resolução automática dessas referências pode levar a uma negação de serviço se as referências estiverem profundamente aninhadas e forem usadas várias vezes, especialmente quando o objeto CBOR decodificado é enviado a um método de serialização. O risco é maior em sistemas que permitem que usuários enviem objetos CBOR arbitrários sem autenticação ou exponham um endpoint remoto para o envio desses objetos.

Para versões anteriores à 3.6, considere usar uma solução alternativa, como verificar o tipo do objeto CBOR antes de codificá-lo ou usar um “fluxo de memória limitado” para decodificar o objeto CBOR.

Para as versões 3.6 e posteriores, defina resolvereferences=false em CBOREncodeOptions para desativar a resolução de referências, por exemplo:

CBORObject.DecodeFromBytes(bytes, new CBOREncodeOptions(“resolvereferences=false”));

Atualize para a versão 4.0 ou posterior, onde a resolução de referências está desativada por padrão.