Nerdbank.MessagePack: Alocação excessiva de memória na desserialização de coleções

Os desserializadores do Nerdbank.MessagePack para tipos de coleção alocam armazenamento com base em contagens de elementos controladas pelo atacante vindas de cabeçalhos de array/map do MessagePack, antes de ler os elementos, permitindo ataques de amplificação de memória.

Aplicações que usam Nerdbank.MessagePack para desserializar dados MessagePack não confiáveis em coleções (arrays, dicionários, etc.), incluindo endpoints ASP.NET Core, SignalR, RPC, fila ou armazenamento.

Atualize o Nerdbank.MessagePack para uma versão corrigida que limita a pré-alocação com base no tamanho real dos dados.