kaml обеспечивает поддержку YAML для kotlinx.serialization. До версии 0.53.0 приложения, использующие kaml для разбора ненадежного ввода, с…
kaml обеспечивает поддержку YAML для kotlinx.serialization. До версии 0.53.0 приложения, использующие kaml для разбора ненадежного ввода, содержащего якоря и псевдонимы, могут потреблять чрезмерный объем памяти и аварийно завершаться. Версия 0.53.0 и более поздние версии по умолчанию отказываются разбирать YAML-документы, содержащие якоря и псевдонимы. Известных обходных путей нет.
Программный продукт использует XML-документы и допускает определение их структуры посредством DTD (Document Type Definition), однако не контролирует надлежащим образом количество рекурсивных определений сущностей.
https://cwe.mitre.org/data/definitions/776.html →Открыть в коллекции CWE →Злоумышленник передаёт целевому приложению данные, содержащие вложенное экспоненциальное расширение данных для формирования избыточно большого вывода. Многие языки форматов данных допускают определение структур, схожих с макросами, которые могут упрощать создание сложных структур. Однако данная возможность может быть использована злоупотребительно для создания чрезмерной нагрузки на вычислительные ресурсы процессора и памяти. Небольшое количество вложенных расширений может привести к экспоненциальному росту требований к памяти.
https://capec.mitre.org/data/definitions/197.html →Открыть в коллекции CAPEC →