dotnet · MessagePackAtenção
MessagePack: DynamicUnionResolver não respeita limite de profundidade, risco de StackOverflowException
Os deserializadores de union gerados em runtime pelo DynamicUnionResolver não chamam MessagePackSecurity.
O que mudou
Os deserializadores de union gerados em runtime pelo DynamicUnionResolver não chamam MessagePackSecurity.DepthStep(ref reader) e não decrementam reader.Depth em torno de caminhos de deserialização recursiva e skip, permitindo bypass do limite de profundidade e potencial StackOverflowException.
Quem isso afeta
Aplicações que deserializam payloads não confiáveis em grafos de objetos contendo interfaces ou classes abstratas decoradas com [Union] e manipuladas por DynamicUnionResolver.
O que fazer hoje
Atualize o MessagePack para a versão corrigida da sua linha de release e atualize pacotes complementares para versões corrigidas coordenadas.
A esteira
Coletado→
Auditado→
Redigido→
Publicado