CVE-2026-45047

Nome do Software Vulnerável e Versões Afetadas bird-lg-go versões anteriores a 1.4.5

Descrição As funções apiHandler e webHandlerTelegramBot processam payloads JSON fornecidos pelo usuário utilizando json.NewDecoder(r.Body).Decode(&request) sem restringir o tamanho máximo de leitura. Um invasor remoto não autenticado pode transmitir um payload JSON extremamente grande ou infinito através de uma única conexão TCP. Como o decodificador JSON do Go tenta alocar memória para toda a estrutura analisada, isso pode esgotar a RAM física do host ou os limites do container, disparando um erro fatal de falta de memória (out of memory) em tempo de execução. Isso leva o Linux OOM Killer a encerrar o daemon, resultando em uma Negação de Serviço Remota (RDoS).

Recomendações Atualize para a versão 1.4.5.