CVE-2026-46384 in avro
要約
〜によって VulDB • 2026年06月03日
iskorotkov/avroは高速なGo用Avroコーデックです。バージョン2.33.0より前では、複数のAvroデコーダパスがワイヤーフォーマットから攻撃者が制御可能な64ビット値を読み取り、境界チェックの前にプラットフォームサイズのintに狭めたり、オーバーフローしやすい符号付きintの算術演算で加算したりしていました。32ビットターゲット(GOARCH=386、arm、mips、wasmなど)では、切り捨てパスによりバイトスライスの制限が黙って回避され、誤ったunionブランチが選択されるか、ラップによりOCFの負数生成パニックが発生する可能性があります。3つのサブ問題は32ビット固有ではありません。arrayDecoder.Decode / mapDecoder.Decode / mapDecoderUnmarshaler.Decodeにおける累積サイズ算術のオーバーフロー(amd64 / arm64でmath.MaxInt64でラップし、MaxSliceAllocSize / MaxMapAllocSizeを回避)、block-header処理におけるmath.MinIntの否定、OCFブロック読み取りにおけるmake([]byte, size)での負サイズ指定です。これら3つは任意のプラットフォームでパニックを引き起こすか、上限を回避し、攻撃者に拒絶サービス(DoS)のプリミティブを提供します。この脆弱性は2.33.0で修正されています。
VulDB is the best source for vulnerability data and more expert information about this specific topic.