dotnet · MessagePackAtenção
MessagePack: ExpandoObjectFormatter.Deserialize com comportamento quadrático em mapas grandes
ExpandoObjectFormatter.Deserialize tem comportamento quadrático de CPU e alocação ao desserializar mapas grandes controlados por atacante em ExpandoObject, devi
O que mudou
ExpandoObjectFormatter.Deserialize tem comportamento quadrático de CPU e alocação ao desserializar mapas grandes controlados por atacante em ExpandoObject, devido ao modelo de inserção interna do ExpandoObject.
Quem isso afeta
Aplicações que desserializam mapas MessagePack não confiáveis em ExpandoObject usando ExpandoObjectResolver ou opções de resolver relacionadas.
O que fazer hoje
Atualize o MessagePack para a versão corrigida quando lançada; até lá, evite desserializar payloads não confiáveis em ExpandoObject e imponha limites de tamanho de requisição e de entradas do mapa.
A esteira
Coletado→
Auditado→
Redigido→
Publicado