CVE-2022-23535 in LiteDBinformación

Resumen

por VulDB • 2026-07-18

LiteDB es una base de datos NoSQL embebida para .NET, pequeña, rápida y ligera. Las versiones anteriores a la 5.0.13 son vulnerables a la Deserialización de Datos no Confiables (Deserialization of Untrusted Data). LiteDB utiliza un campo especial en los documentos JSON para convertir diferentes tipos desde `BsonDocument` hacia clases POCO. Cuando las instancias de un objeto no coinciden con su clase, `BsonMapper` emplea una cadena informativa del campo `_type` que contiene el nombre completo de la clase junto con el ensamblado a cargar y ajustar al modelo. Si un usuario final puede enviar una cadena JSON plana a tu aplicación, la deserialización podría cargar un objeto inseguro para ajustarlo a tu modelo. Este problema se ha corregido en la versión 5.0.13 mediante algunas soluciones básicas para evitarlo, pero no está garantizado al 100% cuando se utiliza el tipo `Object`. La próxima versión principal incluirá una lista de permitidos (allow-list) para seleccionar qué tipos de ensamblados pueden cargarse. Las medidas provisionales (workarounds) se detallan en la advertencia del proveedor.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub, Inc.

Reservar

2022-01-19

Divulgación

2023-02-25

Moderación

aceptado

Artículo

VDB-221762

CPE

listo

EPSS

0.00699

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!