CVE-2026-46385

Nome do Software Vulnerável e Versões Afetadas iskorotkov/avro versões anteriores a 2.33.0 github.com/hamba/avro/v2 versões anteriores a 2.32.0

Description Ocorre uma negação de serviço (DoS) remota e não autenticada devido ao esgotamento de CPU nos decodificadores de array e mapa do Avro. O problema surge porque os decodificadores percorrem um valor de contagem de blocos controlado por um invasor sem verificar o estado de erro do leitor subjacente dentro do corpo do loop. Em alvos amd64 e arm64, a função Reader.ReadBlockHeader retorna a contagem como um int de 64 bits, permitindo que um produtor declare um bloco de até math.MaxInt64 elementos. Se a carga útil for truncada ou terminar com EOF, o decodificador continuará a realizar iterações sem operação até que o loop seja concluído, efetivamente travando um núcleo de CPU até que o processo seja terminado, cancelado por prazo ou encerrado por falta de memória (OOM-killed).

Os detalhes técnicos envolvem as seguintes funções vulneráveis:

Recommendations Para iskorotkov/avro versões anteriores a 2.33.0, atualize para a versão 2.33.0 ou posterior. Para github.com/hamba/avro/v2 versões anteriores a 2.32.0, migre para o iskorotkov/avro versão 2.33.0 ou posterior. Para fornecer defesa em profundidade contra cargas úteis superdimensionadas, configure Config.MaxByteSliceSize, Config.MaxSliceAllocSize e Config.MaxMapAllocSize para definir limites de alocação explícitos.