Vulnerability Details CVE-2023-37475
Hamba avro is a go lang encoder/decoder implementation of the avro codec specification. In affected versions a well-crafted string passed to avro's `github.com/hamba/avro/v2.Unmarshal()` can throw a `fatal error: runtime: out of memory` which is unrecoverable and can cause denial of service of the consumer of avro. The root cause of the issue is that avro uses part of the input to `Unmarshal()` to determine the size when creating a new slice and hence an attacker may consume arbitrary amounts of memory which in turn may cause the application to crash. This issue has been addressed in commit `b4a402f4` which has been included in release version `2.13.0`. Users are advised to upgrade. There are no known workarounds for this vulnerability.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.003
EPSS Ranking 51.5%
CVSS Severity
CVSS v3 Score 7.5
References
Products affected by CVE-2023-37475
-
cpe:2.3:a:avro_project:avro:0.0.1
-
cpe:2.3:a:avro_project:avro:0.0.2
-
cpe:2.3:a:avro_project:avro:0.0.3
-
cpe:2.3:a:avro_project:avro:0.0.4
-
cpe:2.3:a:avro_project:avro:0.0.5
-
cpe:2.3:a:avro_project:avro:0.1.0
-
cpe:2.3:a:avro_project:avro:0.2.0
-
cpe:2.3:a:avro_project:avro:0.3.0
-
cpe:2.3:a:avro_project:avro:0.3.1
-
cpe:2.3:a:avro_project:avro:0.4.0
-
cpe:2.3:a:avro_project:avro:0.4.1
-
cpe:2.3:a:avro_project:avro:0.4.2
-
cpe:2.3:a:avro_project:avro:0.5.0
-
cpe:2.3:a:avro_project:avro:0.5.1
-
cpe:2.3:a:avro_project:avro:0.5.2
-
cpe:2.3:a:avro_project:avro:0.5.3
-
cpe:2.3:a:avro_project:avro:0.6.0
-
cpe:2.3:a:avro_project:avro:0.7.0
-
cpe:2.3:a:avro_project:avro:1.0.0
-
cpe:2.3:a:avro_project:avro:1.1.0
-
cpe:2.3:a:avro_project:avro:1.1.1
-
cpe:2.3:a:avro_project:avro:1.1.2
-
cpe:2.3:a:avro_project:avro:1.2.0
-
cpe:2.3:a:avro_project:avro:1.2.1
-
cpe:2.3:a:avro_project:avro:1.3.0
-
cpe:2.3:a:avro_project:avro:1.4.0
-
cpe:2.3:a:avro_project:avro:1.5.0
-
cpe:2.3:a:avro_project:avro:1.5.1
-
cpe:2.3:a:avro_project:avro:1.5.2
-
cpe:2.3:a:avro_project:avro:1.5.3
-
cpe:2.3:a:avro_project:avro:1.5.4
-
cpe:2.3:a:avro_project:avro:1.5.5
-
cpe:2.3:a:avro_project:avro:1.5.6
-
cpe:2.3:a:avro_project:avro:1.6.0
-
cpe:2.3:a:avro_project:avro:1.6.1
-
cpe:2.3:a:avro_project:avro:1.6.2
-
cpe:2.3:a:avro_project:avro:1.6.3
-
cpe:2.3:a:avro_project:avro:1.6.4
-
cpe:2.3:a:avro_project:avro:1.6.5
-
cpe:2.3:a:avro_project:avro:1.6.6
-
cpe:2.3:a:avro_project:avro:1.7.0
-
cpe:2.3:a:avro_project:avro:1.8.0
-
cpe:2.3:a:avro_project:avro:2.0.0
-
cpe:2.3:a:avro_project:avro:2.0.1
-
cpe:2.3:a:avro_project:avro:2.0.2
-
cpe:2.3:a:avro_project:avro:2.1.0
-
cpe:2.3:a:avro_project:avro:2.10.0
-
cpe:2.3:a:avro_project:avro:2.11.0
-
cpe:2.3:a:avro_project:avro:2.12.0
-
cpe:2.3:a:avro_project:avro:2.2.0
-
cpe:2.3:a:avro_project:avro:2.3.0
-
cpe:2.3:a:avro_project:avro:2.4.0
-
cpe:2.3:a:avro_project:avro:2.5.0
-
cpe:2.3:a:avro_project:avro:2.6.0
-
cpe:2.3:a:avro_project:avro:2.7.0
-
cpe:2.3:a:avro_project:avro:2.8.0
-
cpe:2.3:a:avro_project:avro:2.8.1
-
cpe:2.3:a:avro_project:avro:2.9.0