AutoMapper — это средство отображения объектов на основе соглашений в .NET. Версии до 15.1.1 и 16.1.1 уязвимы к атаке типа «отказ в обслуживании» (DoS). При отображении глубоко вложенных графов объектов библиотека использует рекурсивные вызовы методов, не устанавливая максимальный предел глубины по умолчанию.
Это позволяет злоумышленнику предоставить специально созданный граф объектов, который исчерпывает память стека потока, вызывая исключение StackOverflowException и приводя к завершению всего процесса приложения. Версии 15.1.1 и 16.1.1 устраняют проблему.
Показать оригинальное описание (EN)
AutoMapper is a convention-based object-object mapper in .NET. Versions prior to 15.1.1 and 16.1.1 are vulnerable to a Denial of Service (DoS) attack. When mapping deeply nested object graphs, the library uses recursive method calls without enforcing a default maximum depth limit. This allows an attacker to provide a specially crafted object graph that exhausts the thread's stack memory, triggering a `StackOverflowException` and causing the entire application process to terminate. Versions 15.1.1 and 16.1.1 fix the issue.
Характеристики атаки
Последствия
Строка CVSS v3.1