CVE-2022-23535 in LiteDB
Sumário
de VulDB • 18/07/2026
LiteDB é um banco de dados NoSQL embarcado para .NET pequeno, rápido e leve. As versões anteriores à 5.0.13 estão sujeitas a Desserialização de Dados Não Confiáveis (Deserialization of Untrusted Data). O LiteDB utiliza um campo especial em documentos JSON para converter diferentes tipos de `BsonDocument` para classes POCO. Quando as instâncias de um objeto não correspondem exatamente à classe esperada, o `BsonMapper` usa uma informação de string no campo `_type`, contendo o nome completo da classe com a assembly que deve ser carregada e adaptada ao seu modelo. Se o usuário final puder enviar para sua aplicação uma string JSON pura, a desserialização pode carregar um objeto inseguro para se adequar ao seu modelo. Este problema foi corrigido na versão 5.0.13 com algumas correções básicas para evitar essa situação, mas não há garantia de 100% quando o tipo `Object` é utilizado. A próxima versão principal conterá uma lista permitida (allow-list) para selecionar quais tipos de Assembly podem ser carregados. As soluções alternativas estão detalhadas no aviso do fornecedor.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.