CVE-2024-10846

Nome do Software Vulnerável e Versões Afetadas compose-go versões v2.10 até v2.4.0 Docker Compose versões v2.27.0 até v2.29.7

Descrição A falha permite que um usuário autorizado que envia payloads YAML maliciosos cause consumo excessivo de memória e ciclos de CPU durante a análise de YAML. Isso afeta a biblioteca compose-go, que é utilizada pelo Docker Compose.

Recomendações Para as versões do compose-go v2.10 até v2.4.0, atualize para a versão v2.24.1 para corrigir a falha. Para as versões do Docker Compose v2.27.0 até v2.29.7, considere atualizar a biblioteca compose-go subjacente para a versão v2.24.1 como medida de mitigação. Como medida de contorno temporária, considere restringir o uso de payloads YAML a fontes confiáveis até que a falha seja resolvida.