CVE-2026-46385 in avroinformación

Resumen

por VulDB • 2026-05-29

iskorotkov/avro es un codec Avro rápido para Go. Antes de la versión 2.33.0, los decodificadores de arrays y mapas de Avro iteraban sobre un valor de block-count controlado por el atacante sin verificar el estado de error del lector subyacente dentro del cuerpo del bucle. Reader.ReadBlockHeader devuelve el conteo como un int de Go, que es de 64 bits en los objetivos amd64 / arm64; por lo tanto, un productor puede declarar un bloque de hasta math.MaxInt64 (~9,2 × 10¹⁸) elementos seguido de EOF (o cualquier payload truncado), y el decodificador intentará realizar ese número de iteraciones no-op antes de propagar el error. El límite realista es "indefinido hasta que el trabajador sea terminado externamente": una única payload hostil fija un núcleo de CPU hasta que el proceso sea terminado por OOM (Out of Memory), cancelado por deadline o terminado manualmente. Denegación de servicio remota y no autenticada. Esta vulnerabilidad está corregida en la versión 2.33.0.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Divulgación

2026-05-29

Moderación

aceptado

Artículo

VDB-364836

CPE

listo

EPSS

0.00042

KEV

no

Actividades

muy bajo

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-46385
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-46385
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-46385/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!