Lỗ hổng AutoMapper trong .NET - Rủi ro thực sự hay bị thổi phồng?

Tổng quan

Gần đây, một lỗ hổng mức độ nghiêm trọng cao đã được công bố liên quan đến AutoMapper, một trong những thư viện object mapping được dùng phổ biến nhất trong hệ sinh thái .NET.

Mối lo chính nằm ở điểm này:

AutoMapper cho phép đệ quy không giới hạn khi map các object graph lồng sâu hoặc có tham chiếu vòng, từ đó có thể gây ra StackOverflowException và làm ứng dụng sập ngay lập tức.

Trong .NET hiện đại:

• StackOverflowException không thể catch
• Process sẽ bị terminate ngay

---

Nguyên nhân kỹ thuật

Đệ quy không giới hạn

AutoMapper không áp dụng giới hạn độ sâu tối đa khi map các object lồng nhau.

Ví dụ

class Person
{
    public Person Child { get; set; }
}

Nếu cấu trúc bị lồng quá sâu:

Person -> Child -> Child -> Child -> ...

thì ở độ sâu cực lớn, ví dụ khoảng 25.000 level, bạn sẽ gặp:

• Stack overflow
• Ứng dụng crash

Vấn đề cốt lõi

AutoMapper không có cơ chế bảo vệ sẵn đối với:

• Cấu trúc lồng quá sâu
• Mô hình đệ quy
• Circular reference

Tác động lúc runtime

Vấn đề	Tác động
StackOverflowException	Process crash ngay lập tức
Xử lý exception	Không thể
Tính sẵn sàng hệ thống	Rủi ro cao nếu bị khai thác theo kiểu DoS

---

Khả năng khai thác thực tế

Mức độ rủi ro được công bố

• Được xếp loại severity cao, khoảng ~7.5 CVSS
• Có khả năng dẫn tới Denial of Service (DoS)

Nhìn nhận thực tế hơn

Rủi ro thực tế có thể đang bị đánh giá quá cao.

Lý do:

• Không chỉ riêng AutoMapper mới gặp vấn đề này
  • Bất kỳ logic đệ quy nào cũng có thể gây stack overflow
• Điều kiện đầu vào để tái hiện lỗi khá phi thực tế
  • Cần object graph sâu bất thường, khoảng 10.000 đến 25.000 level
• Thường đã bị chặn ở tầng trước đó
  • JSON serializer thường có cấu hình giới hạn độ sâu
• Chưa có báo cáo thực chiến đáng chú ý
  • AutoMapper đã được dùng rộng rãi suốt nhiều năm

Kết quả tái hiện

Độ sâu	Kết quả
10.000	Vẫn chạy
25.000	Stack overflow và crash

---

Cách giảm thiểu rủi ro

1. Nâng cấp lên bản đã vá

Đã được khắc phục trong:

• 16.1.1
• 15.1.1

Các phiên bản này bổ sung cơ chế bảo vệ nội bộ.

2. Thêm cấu hình bảo vệ thủ công

Ngay cả khi chưa nâng cấp, bạn vẫn có thể tự phòng vệ:

CreateMap<Source, Destination>()
    .MaxDepth(64);

Ưu điểm:

• Dùng được với phiên bản cũ
• Ngăn đệ quy quá sâu
• Cách làm đơn giản và hiệu quả

3. Thiết kế phòng thủ ở nhiều tầng

Kiểm tra đầu vào

• Giới hạn độ sâu của payload
• Validate cấu trúc DTO trước khi mapping

Tầng serialization

var options = new JsonSerializerOptions
{
    MaxDepth = 64
};

Ở mức kiến trúc

Nên tránh:

• Object graph quá sâu
• Domain model mang tính đệ quy không cần thiết

---

Tranh luận xung quanh lỗ hổng này

Tranh cãi về mức độ nghiêm trọng

Có khá nhiều ý kiến cho rằng cách phân loại severity ở đây chưa thực sự hợp lý.

Lập luận phổ biến là:

Đây không phải là một lỗ hổng nghiêm trọng kiểu zero-day, mà giống một giới hạn vốn có của lập trình đệ quy.

Các luận điểm thường gặp:

• Severity bị đánh giá quá tay
• Khó khai thác trong điều kiện thực tế
• Đây là vấn đề mang tính tổng quát của kỹ thuật lập trình, không riêng AutoMapper

Yếu tố thương mại

Một số ý kiến cũng đặt câu hỏi về mặt thương mại:

• Bản vá chỉ có ở các version mới hơn, có thể gắn với mô hình trả phí
• Các version cũ vẫn bị xem là "có lỗ hổng"

Điều này dẫn tới những câu hỏi như:

• Có đang tạo áp lực nâng cấp hay không?
• Công bố này có mang yếu tố thương mại hay không?

---

Góc nhìn kiến trúc về AutoMapper

Ngoài câu chuyện lỗ hổng, vụ việc này cũng làm sống lại một cuộc tranh luận cũ về AutoMapper.

Những điểm thường bị phê bình

• Độ phức tạp bị che giấu
• Mapping runtime dựa trên reflection
• Khó debug hơn
• Dễ khiến thiết kế trở nên kém tường minh

Các lựa chọn thay thế

• Manual mapping
• Source generator
• Các công cụ mapping ở compile time

---

Đánh giá rủi ro thực tế

Yếu tố	Đánh giá
Độ khó khai thác	Cao
Điều kiện cần	Khá phi thực tế
Tác động nếu xảy ra	Cao
Xác suất xảy ra trong thực tế	Thấp

Kết luận tổng thể: rủi ro thực tiễn ở mức thấp.

---

Điểm chính cần nhớ

Sự thật

• Stack overflow do đệ quy quá sâu là có thật
• Nó có thể làm ứng dụng .NET crash
• AutoMapper trước đây thiếu cơ chế giới hạn độ sâu

Nhưng cũng cần nhìn đúng bản chất

• Đây không phải vấn đề chỉ có ở AutoMapper
• Khá hiếm gặp trong hệ thống thực tế
• Thường đã được giảm thiểu ở các tầng khác

---

Khuyến nghị

• Thêm .MaxDepth() vào mapping
• Validate payload đầu vào
• Tránh model đệ quy quá sâu
• Cân nhắc alternative khác cho dự án mới

---

Kết luận cuối

Đây không phải là một "lỗ hổng cực lớn".

Nó giống một giới hạn đã được biết đến của lập trình đệ quy hơn là một vấn đề bảo mật mang tính thảm họa.

Nói ngắn gọn: có rủi ro kỹ thuật thật, nhưng khả năng cao đã bị thổi phồng và có thể bị ảnh hưởng phần nào bởi yếu tố thương mại.