PT-2025-17447 · Amazon · Amazon.Iondotnet
Josh Coleman
·
Publicado
2025-04-21
·
Atualizado
2025-04-26
·
CVE-2025-3857
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Versões do Amazon.IonDotnet anteriores à 1.3.1
Descrição
O problema ocorre ao ler dados binários Ion através do Amazon.IonDotnet usando a classe RawBinaryReader. O Amazon.IonDotnet não verifica a quantidade de bytes lidos do fluxo subjacente durante a desserialização do formato binário. Se os dados Ion estiverem malformados ou truncados, isso aciona uma condição de loop infinito que poderia potencialmente resultar em uma negação de serviço.
Recomendações
Atualize para a versão 1.3.1 do Amazon.IonDotnet e garanta que qualquer código bifurcado ou derivado seja corrigido para incorporar as novas correções.
Correção
DoS
Infinite Loop
Deserialization of Untrusted Data
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Amazon.Iondotnet