Wire: skipGroup() missing negative-length check allows 10-byte payload to crash any Wire-decoding service — CVE-2026-45799
GitHub · GitHub · CVE-2026-45799
ID
CVE-2026-45799
CVE-2026-45799
Datum
Activity
Quelle
GitHub
GitHub
Vendor
GitHub
GitHub
Risiko
high
high
CVSS
7.5
7.5
Zusammenfassung
# CVE-2026-45799 ## Maintainer summary Wire's protobuf group-skipping logic did not reject negative lengths before skipping a length-delimited field inside a group. A crafted protobuf payload could cause Wire to throw an unchecked runtime exception during decoding instead of the documented `IOException` / `ProtocolException` failure path. This can crash services that decode untrusted protobuf payloads and only…
Produkt
maven: com.squareup.wire:wire-runtime-jvm | maven: com.squareup.wire:wire-runtime
Was tun?
Allgemeine, vorsichtige Schritte (bitte prüfe die offizielle Quelle für Details):
- Priorisiere sofort Patches oder Mitigations (hohes akutes Risiko).
- Identifiziere betroffene Produktversionen und prüfe, ob du betroffen bist.
- Spiele Hersteller-Updates/Patches ein oder setze empfohlene Mitigations um.
- Lies das offizielle Advisory für betroffene Versionen und konkrete Schritte.