CVE-2026-44375

Nome do Software Vulnerável e Versões Afetadas Nerdbank.MessagePack versões anteriores a 1.1.62

Descrição Existe um problema de alocação de pilha não controlada na decodificação de DateTime. Um payload MessagePack malicioso pode declarar um comprimento de extensão de timestamp excessivo, levando o leitor a alocar um número de bytes controlado pelo invasor na pilha. Isso ocorre porque o tokenSize é derivado do comprimento da extensão antes de validar se ele corresponde aos tamanhos de timestamp legais do MessagePack (4, 8 ou 12 bytes). Quando o buffer está incompleto, esse tamanho não validado é usado em uma operação stackalloc, disparando uma StackOverflowException que encerra o processo e resulta em negação de serviço. Isso afeta aplicações que desserializam dados MessagePack de fontes não confiáveis onde o tipo de destino contém um valor DateTime.

Recomendações Atualizar para a versão 1.1.62. Evitar a desserialização de payloads MessagePack não confiáveis em grafos de tipos que contenham campos ou propriedades DateTime. Pré-validar os cabeçalhos de extensão MessagePack e rejeitar extensões de timestamp com comprimentos diferentes de 4, 8 ou 12 bytes. Rejeitar ou filtrar valores de timestamp de tipo de extensão -1 de entradas não confiáveis. Executar a desserialização de payloads não confiáveis em um processo isolado que possa ser reiniciado com segurança. Restringir a desserialização MessagePack a produtores confiáveis.