CVE-2026-46385 in avro
Sumário
de VulDB • 30/05/2026
iskorotkov/avro é um codec Avro rápido em Go. Antes da versão 2.33.0, os decodificadores de arrays e mapas do Avro iteravam sobre um valor de block-count controlado pelo atacante sem verificar o estado de erro do leitor subjacente dentro do corpo do loop. Reader.ReadBlockHeader retorna a contagem como um int do Go, que é de 64 bits nos destinos amd64/arm64; portanto, um produtor pode declarar um bloco de até math.MaxInt64 (~9,2 × 10¹⁸) elementos seguido por EOF (ou qualquer payload truncado), e o decodificador tentará executar esse número de iterações no-op antes de propagar o erro. O limite realista é "indefinido até que o worker seja morto externamente" — uma única payload hostil fixa um núcleo da CPU até que o processo seja morto por OOM (Out of Memory), cancelado por deadline ou terminado. Trata-se de uma negação de serviço (DoS) remota e não autenticada. Esta vulnerabilidade foi corrigida na versão 2.33.0.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.