PT-2026-4468 · Google+4 · Google.Protobuf+4

Publicado

2026-01-01

·

Atualizado

2026-05-26

·

CVE-2026-0994

CVSS v4.0

8.2

Alta

VetorAV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:L/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Nome do Software Vulnerável e Versões Afetadas google.protobuf (versões afetadas não especificadas)
Descrição Existe uma vulnerabilidade de negação de serviço (DoS) na função ParseDict() dentro de google.protobuf.json format em Python. A vulnerabilidade ocorre porque o limite max recursion depth pode ser contornado durante a análise de mensagens aninhadas google.protobuf.Any. Especificamente, a ausência de contabilização da profundidade de recursão dentro da lógica interna de tratamento de Any permite que um atacante forneça estruturas Any profundamente aninhadas que contornam o limite de recursão pretendido. Isso pode esgotar a pilha de recursão do Python, resultando em um RecursionError.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

DoS

Uncontrolled Recursion

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-674

Identificadores relacionados

ALSA-2026:3094
ALSA-2026:3095
AZL-75830
AZL-76481
AZL-76487
AZL-76505
AZL-76602
BDU:2026-05124
CVE-2026-0994
ECHO-1995-FF5E-CE0C
GHSA-7GCM-G887-7QV7
OESA-2026-1432
OPENSUSE-SU-2026:10515-1
OPENSUSE-SU-2026:20390-1
RHSA-2026:3059
RHSA-2026:3094
RHSA-2026:3095
RHSA-2026:3097
RHSA-2026:3218
RHSA-2026:3219
RHSA-2026:3220
RHSA-2026:3958
RHSA-2026:3959
SUSE-SU-2026:0374-1
SUSE-SU-2026:0517-1
SUSE-SU-2026:0563-1
SUSE-SU-2026:0618-1
SUSE-SU-2026:1653-1
SUSE-SU-2026:20352-1
SUSE-SU-2026:20490-1
SUSE-SU-2026:20753-1
SUSE-SU-2026:20907-1
USN-8063-1
USN-8063-2

Produtos afetados

Linuxmint
Red Os
Rocky Linux
Ubuntu
Google.Protobuf