NVD Vulnerability Detail
Search Exploit, PoC
CVE-2026-48511
Summary

MessagePack for C# is a MessagePack serializer for C#. Prior to 2.5.301 and 3.1.7, ExpandoObjectFormatter.Deserialize populates System.Dynamic.ExpandoObject by calling IDictionary<string, object>.Add for each map entry. ExpandoObject internally maintains member names in array-like structures, so inserting many distinct keys can require repeated linear scans and array copies. For large attacker-controlled maps, this produces quadratic CPU and allocation behavior. The issue is especially surprising because ExpandoObjectResolver.Options is configured with MessagePackSecurity.UntrustedData, but collision-resistant dictionary comparers cannot protect ExpandoObject insertion internals. This vulnerability is fixed in 2.5.301 and 3.1.7.

Publication Date June 23, 2026, 7:16 a.m.
Registration Date June 27, 2026, 4:12 a.m.
Last Update June 26, 2026, 1:16 a.m.
CVSS3.1 : HIGH
スコア 7.5
Vector CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV) ネットワーク
攻撃条件の複雑さ(AC)
攻撃に必要な特権レベル(PR) 不要
利用者の関与(UI) 不要
影響の想定範囲(S) 変更なし
機密性への影響(C) なし
完全性への影響(I) なし
可用性への影響(A)
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:messagepack:messagepack:*:*:*:*:*:c\#:*:* 2.5.301
cpe:2.3:a:messagepack:messagepack:*:*:*:*:*:c\#:*:* 3.0.3 3.1.7
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
MessagePackにおけるアルゴリズムの複雑さに関する脆弱性
Title MessagePackにおけるアルゴリズムの複雑さに関する脆弱性
Summary

MessagePack for C# は C# 用の MessagePack シリアライザです。バージョン 2.5.301 および 3.1.7 より前では、ExpandoObjectFormatter.Deserialize は各マップエントリに対して IDictionarystring, object.Add を呼び出して System.Dynamic.ExpandoObject を構築します。ExpandoObject は内部的にメンバー名を配列のような構造で管理しているため、多数の異なるキーを挿入すると繰り返しの線形スキャンと配列のコピーが必要になる場合があります。攻撃者が制御する大規模なマップでは、これにより CPU 使用率と割り当てが二次的に増加する挙動が発生します。この問題は、ExpandoObjectResolver.Options が MessagePackSecurity.UntrustedData に設定されているにもかかわらず、衝突耐性のある辞書の比較器が ExpandoObject の挿入処理を保護できないため、特に驚くべきものです。この脆弱性はバージョン 2.5.301 および 3.1.7 で修正されています。

Possible impacts ・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 
Solution

ベンダ情報を参照して適切な対策を実施してください。

Publication Date June 22, 2026, midnight
Registration Date June 26, 2026, 11:57 a.m.
Last Update June 26, 2026, 11:57 a.m.
Affected System
MessagePack
MessagePack 2.5.301 未満
MessagePack 3.0.3 以上 3.1.7 未満
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
1 [2026年06月26日]
  掲載		 June 26, 2026, 11:57 a.m.