NVD Vulnerability Detail

CVE-2026-48515

Summary	MessagePack for C# is a MessagePack serializer for C#. Prior to 2.5.301 and 3.1.7, MessagePack-CSharp's multi-dimensional array formatters read dimension lengths directly from the payload and allocate T[,], T[,,], or T[,,,] before validating that the dimension product matches the encoded element count. The formatter reads a guarded element array header, but allocation of the target multi-dimensional array happens before the dimensions are checked against that element count. A small payload can therefore declare large dimensions, provide an empty or tiny inner array, and cause a large heap allocation before element data is validated. This vulnerability is fixed in 2.5.301 and 3.1.7.
Publication Date	June 23, 2026, 7:16 a.m.
Registration Date	June 27, 2026, 4:12 a.m.
Last Update	June 26, 2026, 2:16 a.m.

CVSS3.1 : HIGH
スコア	7.5
Vector	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
攻撃元区分(AV)	ネットワーク
攻撃条件の複雑さ(AC)	低
攻撃に必要な特権レベル(PR)	不要
利用者の関与(UI)	不要
影響の想定範囲(S)	変更なし
機密性への影響(C)	なし
完全性への影響(I)	なし
可用性への影響(A)	高

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:messagepack:messagepack::::::c\#::*				2.5.301
cpe:2.3:a:messagepack:messagepack::::::c\#::*	3.0.3			3.1.7

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/MessagePack-CSharp/MessagePack-CSharp/security/advisories/GHSA-cxmj-83gh-fp49	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-770	制限またはスロットリング無しのリソースの割り当て	https://cwe.mitre.org/data/definitions/770.html

JVN Vulnerability Information

MessagePackにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性

Title	MessagePackにおける制限またはスロットリング無しのリソースの割り当てに関する脆弱性
Summary	MessagePack for C# は C# 用の MessagePack シリアライザーです。バージョン 2.5.301 および 3.1.7 より前の MessagePack-CSharp では、多次元配列フォーマッターがペイロードから直接次元の長さを読み取り、次元の積がエンコードされた要素数と一致するかどうかを検証する前に T[,], T[,,], または T[,,,] を割り当てていました。このフォーマッターは保護された要素配列ヘッダーを読み取りますが、ターゲットとなる多次元配列の割り当ては要素数と照合される前に行われていました。そのため、小さいペイロードでも大きな次元を宣言し、空または非常に小さい内部配列を提供することで、要素データが検証される前に大きなヒープ割り当てが発生する可能性がありました。この脆弱性はバージョン 2.5.301 および 3.1.7 で修正されています。
Possible impacts	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報について、書き換えは発生しません。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	June 22, 2026, midnight
Registration Date	June 26, 2026, 11:57 a.m.
Last Update	June 26, 2026, 11:57 a.m.

Affected System

MessagePack

MessagePack 2.5.301 未満

MessagePack 3.0.3 以上 3.1.7 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-48515	https://www.cve.org/CVERecord?id=CVE-2026-48515
National Vulnerability Database (NVD)
2	CVE-2026-48515	https://nvd.nist.gov/vuln/detail/CVE-2026-48515

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-770	https://cwe.mitre.org/data/definitions/770.html

ベンダー情報

No	Name	URL
GitHub
1	Multi-dimensional array formatters allocate from unchecked dimensions Advisory MessagePack-CSharp/MessagePack-CSharp GitHub	https://github.com/MessagePack-CSharp/MessagePack-CSharp/security/advisories/GHSA-cxmj-83gh-fp49

Change Log

No	Changed Details	Date of change
1	[2026年06月26日] 掲載	June 26, 2026, 11:57 a.m.