MessagePack for C#はC#向けのMessagePackシリアライザです。バージョン2.5.301および3.1.7より前のバージョンでは、MessagePackReader.ReadDateTime()が攻撃者が操作可能なMessagePack拡張の長さに基づいてスタックメモリを割り当てることがありました。タイムスタンプ拡張の解析におけるスローパス処理では、計算されたtokenSizeにワイヤ上の拡張ボディの長さが含まれており、有効なタイムスタンプサイズの1つとして拡張長が検証される前に、stackalloc操作で使用されます。非常に小さなペイロードが大きなタイムスタンプ拡張ボディを主張し、キャッチ不可能なStackOverflowExceptionを引き起こすほどの大きなスタック割り当てが発生し、それによりホストプロセスが終了する可能性があります。この脆弱性はバージョン2.5.301および3.1.7で修正されています。

ベンダ情報を参照して適切な対策を実施してください。