MessagePack for C# は C# 用の MessagePack シリアライザーです。バージョン 2.5.301 および 3.1.7 より前の MessagePack-CSharp の JSON 変換ヘルパーには、深さ制限を一貫して適用しない複数の再帰パスが含まれています。これらのパスは通常の型付き MessagePack デシリアライズではなく、JSON 変換コンポーネントに存在します。MessagePackSerializer.ConvertFromJson は FromJsonCore() 内でネストされた JSON 配列やオブジェクトを MessagePackSecurity.MaximumObjectGraphDepth を参照せずに再帰的に処理します。TinyJsonReader.ReadNextToken() はカンマやコロンの区切り文字を再帰的に処理し、長い区切り文字の連続による不正な JSON であっても各文字ごとにスタックフレームを消費します。MessagePackSerializer.ConvertToJson は配列やマップに対して深さチェックを適用しますが、拡張タイプ ext-100 の型なし拡張ブランチは MessagePackSecurity.DepthStep(ref reader) を適用せずに ToJsonCore() を再帰的に呼び出します。これらのパスはいずれも攻撃者が制御する入力によってプロセスのスタックを枯渇させ、キャッチできない StackOverflowException を発生させる可能性があり、キャッチ可能な解析やシリアライズ例外で失敗する代わりにスタックオーバーフローが発生します。この脆弱性はバージョン 2.5.301 および 3.1.7 で修正されました。
|