CVE-2026-42328

Nome do Software Vulnerável e Versões Afetadas go-ipld-prime versões anteriores a 0.23.0

Description Os decodificadores DAG-CBOR e DAG-JSON realizam recursão em cada mapa ou lista aninhada sem um limite de profundidade. Uma carga útil contendo coleções profundamente aninhadas faz com que o decodificador recursa uma vez por nível, expandindo a pilha da goroutine até que o runtime do Go termine o processo com um estouro de pilha (stack overflow) fatal. Para o DAG-CBOR, uma carga útil de aproximadamente 2 MB, consistindo de bytes 0x81 repetidos seguidos por um terminador, pode esgotar a pilha padrão de 1 GB da goroutine. O DAG-JSON está exposto de forma semelhante através de cargas úteis no estilo [[[...]]]. A decodificação sem esquema usando basicnode.Prototype.Any permite profundidade de aninhamento arbitrária, enquanto a decodificação vinculada ao esquema apenas limita o aninhamento se o esquema não for recursivo e não contiver campos do tipo Any.

Recommendations Atualize para a versão 0.23.0.