PT-2026-34238 · Iodine+1 · Iodine+1
Publicado
2026-04-14
·
Atualizado
2026-04-25
·
CVE-2026-41146
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N |
Nome do Software Vulnerável e Versões Afetadas
facil.io versões anteriores ao commit 5128747363055201d3ecf0e29bf0a961703c9fa0
iodine (versões afetadas não especificadas)
Descrição
A função
fio json parse() pode entrar em um loop infinito ao encontrar um valor JSON aninhado que comece com o caractere i ou I. Isso faz com que o processo consuma aproximadamente 100% dos recursos de um núcleo da CPU em vez de retornar um erro de análise. Esse problema ocorre porque o analisador pode tolerar vírgulas ausentes e tratar caracteres finais como o início de um novo valor.Recomendações
Atualize para o commit 5128747363055201d3ecf0e29bf0a961703c9fa0 ou uma versão mais recente.
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Exploit
Infinite Loop
Resource Exhaustion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Facil.Io
Iodine