CVE-2026-48109
| Summary |
MessagePack for C# is a MessagePack serializer for C#. Prior to 2.5.301 and 3.1.7, A vulnerability exists in the optional LZ4 decompression path used by MessagePack compression modes Lz4Block and Lz4BlockArray. The decoder implementation is based on a deprecated fast-decompression algorithm that does not take a source-length bound. A remote attacker can send a crafted MessagePack payload with manipulated LZ4 token/length fields to force out-of-bounds reads from the compressed input buffer. In affected environments, this can trigger an AccessViolationException during decompression, causing process termination (denial of service). Under some conditions, limited unintended memory disclosure from over-read data may also be possible before failure. This vulnerability is fixed in 2.5.301 and 3.1.7.
|
| Publication Date |
June 23, 2026, 7:16 a.m. |
| Registration Date |
June 27, 2026, 4:11 a.m. |
| Last Update |
June 24, 2026, 2:25 a.m. |
|
CVSS3.1 : HIGH
|
| スコア |
8.2
|
| Vector |
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H |
| 攻撃元区分(AV) |
ネットワーク |
| 攻撃条件の複雑さ(AC) |
低 |
| 攻撃に必要な特権レベル(PR) |
不要 |
| 利用者の関与(UI) |
不要 |
| 影響の想定範囲(S) |
変更なし |
| 機密性への影響(C) |
低 |
| 完全性への影響(I) |
なし |
| 可用性への影響(A) |
高 |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:messagepack:messagepack:*:*:*:*:*:c\#:*:* |
|
|
|
2.5.301 |
| cpe:2.3:a:messagepack:messagepack:*:*:*:*:*:c\#:*:* |
3.0.3 |
|
|
3.1.7 |
Related information, measures and tools
Common Vulnerabilities List
JVN Vulnerability Information
MessagePackにおける入力確認に関する脆弱性
| Title |
MessagePackにおける入力確認に関する脆弱性
|
| Summary |
MessagePack for C# は C# 用の MessagePack シリアライザです。バージョン 2.5.301 および 3.1.7 より前のバージョンには、MessagePack の圧縮モードである Lz4Block と Lz4BlockArray で使用されるオプションの LZ4 解凍パスに脆弱性があります。デコーダ実装は、ソース長の境界を考慮しない非推奨の高速解凍アルゴリズムに基づいています。リモートの攻撃者は、LZ4 のトークンや長さフィールドを改ざんした細工された MessagePack ペイロードを送信することで、圧縮入力バッファからの境界外読み取りを強制できます。影響を受ける環境では、解凍中に AccessViolationException が発生し、プロセスが終了してサービス拒否となる可能性があります。場合によっては、失敗前に読み過ぎたデータから限定的な意図しないメモリ情報が漏洩することもあります。この脆弱性はバージョン 2.5.301 および 3.1.7 で修正されています。
|
| Possible impacts |
・当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う情報について、書き換えは発生しません。 ・当該ソフトウェアが完全に停止する可能性があります。 |
| Solution |
ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
June 22, 2026, midnight |
| Registration Date |
June 26, 2026, 11:57 a.m. |
| Last Update |
June 26, 2026, 11:57 a.m. |
Affected System
| MessagePack |
|
MessagePack 2.5.301 未満
|
|
MessagePack 3.0.3 以上 3.1.7 未満
|
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年06月26日]
掲載 |
June 26, 2026, 11:57 a.m. |