CVE-2023-6245 in CandidИнформация

Сводка

по VulDB • 05.06.2026

Библиотека Candid вызывает отказ в обслуживании (DoS) при разборе специально созданной полезной нагрузки с типом данных «пусто» (empty). Например, если полезная нагрузка имеет вид `record { * ; empty }`, а интерфейс канистера ожидает `record { * }`, то декодер Candid для Rust рассматривает тип empty как дополнительное поле, требуемое типом. Проблема заключается в том, что библиотека Candid для Rust ошибочно классифицирует тип empty как восстанавливаемую ошибку при пропуске поля, что приводит к бесконечному циклу декодирования.

Канистеры, использующие затронутые версии библиотеки candid, подвержены отказу в обслуживании, поскольку декодирование запускается бесконечно до тех пор, пока канистер не завершит работу из-за достижения максимального лимита инструкций на один раунд выполнения. Повторное воздействие такой полезной нагрузки приведет к снижению производительности канистера. Примечание: Канистеры, написанные на языке Motoko, не затронуты.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

Dfinity

Резервировать

21.11.2023

Раскрытие

08.12.2023

Модерация

принято

Вход

VDB-247267

EPSS

0.01212

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!