{ "id": "CVE-2024-4420", "sourceIdentifier": "cve-coordination@google.com", "published": "2024-05-21T12:15:08.627", "lastModified": "2024-05-21T12:37:59.687", "vulnStatus": "Awaiting Analysis", "descriptions": [ { "lang": "en", "value": "There exists a Denial of service vulnerability in Tink-cc in versions prior to 2.1.3.\u00a0 * An adversary can crash binaries using the crypto::tink::JsonKeysetReader in tink-cc by providing an input that is not an encoded JSON object, but still a valid encoded JSON element, for example a number or an array. This will crash as Tink just assumes any valid JSON input will contain an object.\n\n\n * An adversary can crash binaries using the crypto::tink::JsonKeysetReader in tink-cc by providing an input containing many nested JSON objects. This may result in a stack overflow.\n\n\nWe recommend upgrading to version 2.1.3 or above" }, { "lang": "es", "value": " Existe una vulnerabilidad de denegaci\u00f3n de servicio en Tink-cc en versiones anteriores a la 2.1.3. * Un adversario puede bloquear archivos binarios usando crypto::tink::JsonKeysetReader en tink-cc al proporcionar una entrada que no es un objeto JSON codificado, pero que sigue siendo un elemento JSON codificado v\u00e1lido, por ejemplo, un n\u00famero o una matriz. Esto fallar\u00e1 ya que Tink simplemente asume que cualquier entrada JSON v\u00e1lida contendr\u00e1 un objeto. * Un adversario puede bloquear archivos binarios usando crypto::tink::JsonKeysetReader en tink-cc al proporcionar una entrada que contiene muchos objetos JSON anidados. Esto puede provocar un desbordamiento de la pila. Recomendamos actualizar a la versi\u00f3n 2.1.3 o superior." } ], "metrics": {}, "weaknesses": [ { "source": "cve-coordination@google.com", "type": "Secondary", "description": [ { "lang": "en", "value": "CWE-116" } ] } ], "references": [ { "url": "https://github.com/tink-crypto/tink-cc/issues/4", "source": "cve-coordination@google.com" } ] }