CVE-2026-21452

Nome do Software Vulnerável e Versões Afetadas Versões do MessagePack for Java anteriores à 0.9.11

Descrição Existe uma vulnerabilidade de negação de serviço no MessagePack for Java ao processar arquivos .msgpack. Especificamente, versões anteriores à 0.9.11 estão suscetíveis à alocação de heap sem limites ao desserializar arquivos .msgpack contendo objetos EXT32 com comprimentos de payload controlados pelo atacante. A biblioteca confia no comprimento do payload EXT declarado durante a materialização, tentando alocar um array de bytes desse tamanho sem qualquer limite superior. Um arquivo .msgpack pequeno e criado especialmente pode provocar o esgotamento da heap da JVM, levando à terminação do processo ou à indisponibilidade do serviço. Esse problema é acionado durante o carregamento do modelo e a desserialização, tornando-o um problema de formato de modelo adequado para exploração remota. O ataque não requer bytes malformados, interação do usuário ou privilégios elevados e pode ser explorado remotamente.

Recomendações Atualize o MessagePack for Java para a versão 0.9.11 ou posterior.