CVE-2024-48924

Versões do MessagePack-CSharp anteriores à 2.5.187 e à 3.0.214

A vulnerabilidade ocorre quando a biblioteca é usada para desserializar dados do MessagePack provenientes de uma fonte não confiável, levando ao risco de um ataque de negação de serviço por um invasor que envie dados manipulados para produzir colisões de hash. Isso resulta em um grande consumo de CPU desproporcional ao tamanho dos dados que estão sendo desserializados. O problema é semelhante a um aviso anterior, que forneceu uma correção inadequada para a parte da vulnerabilidade relacionada à colisão de hash.

Para mitigar esse risco, atualize para uma versão da biblioteca na qual uma correção esteja disponível.

Se estiver atualizando da v1, consulte o guia de migração.

Revise as etapas do aviso anterior para garantir que o aplicativo esteja configurado para dados não confiáveis.

Se a atualização do MessagePack para uma versão corrigida não for uma opção, aplique uma solução alternativa manual declarando uma classe derivada de MessagePackSecurity, sobrescrevendo o método GetHashCollisionResistantEqualityComparer para fornecer uma função hash resistente a colisões e configurando MessagePackSerializerOptions com uma instância do tipo derivado.

Use o objeto de opções personalizadas para todas as operações de desserialização.