CVE-2026-42328
MediumCVSS 6.2Summary
go-ipld-prime to implementacja specyfikacji InterPlanetary Linked Data (IPLD), która przed wersją 0.23.0 miała problem z dekodowaniem DAG-CBOR i DAG-JSON. Dekodery te nie miały limitu głębokości rekurencji, co prowadziło do przepełnienia stosu w przypadku głęboko zagnieżdżonych kolekcji.
Risk Assessment
W przypadku wykorzystania tej podatności, atakujący może doprowadzić do awarii aplikacji poprzez przepełnienie stosu, co skutkuje zatrzymaniem procesu. Może to prowadzić do przerwy w dostępności usług.
Recommendation
Zaleca się aktualizację do wersji 0.23.0 lub nowszej, aby usunąć tę podatność i zabezpieczyć aplikację przed potencjalnymi atakami.
Original NVD description (English source)
go-ipld-prime is an implementation of the InterPlanetary Linked Data (IPLD) spec interfaces, a batteries-included codec implementations of IPLD for CBOR and JSON, and tooling for basic operations on IPLD objects. Prior to 0.23.0, the DAG-CBOR and DAG-JSON decoders recurse on each nested map or list without a depth limit. A payload containing deeply nested collections causes the decoder to recurse once per level, growing the goroutine stack until the Go runtime terminates the process with a fatal stack overflow (distinct from a recoverable panic). This vulnerability is fixed in 0.23.0.

