PT-2026-30757 · Unknown · Go-Ipld-Prime
Yuliyu123
·
Publicado
2026-04-06
·
Atualizado
2026-04-14
·
CVE-2026-35480
CVSS v3.1
6.2
Média
| Vetor | AV:L/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Name of the Vulnerable Software and Affected Versions
go-ipld-prime versões anteriores a 0.22.0
Description
O decodificador DAG-CBOR do go-ipld-prime não limita o tamanho das pré-alocações para mapas e listas com base nos cabeçalhos CBOR, o que pode levar à alocação excessiva de memória a partir de cargas úteis pequenas. Estruturas aninhadas podem exacerbar esse problema, causando alocações superiores a 9GB a partir de cargas úteis com menos de 100 bytes. O decodificador usa tamanhos de coleção dos cabeçalhos CBOR como dicas de pré-alocação para mapas e listas Go, sem considerar o custo em seu orçamento de alocação.
Recommendations
Atualize para a versão 0.22.0 ou posterior.
Correção
Allocation of Resources Without Limits
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Go-Ipld-Prime