CA2353: Objeto DataSet o DataTable no seguro en un tipo serializable

Propiedad	Value
Identificador de la regla	CA2353
Título	Objeto DataSet o DataTable no seguro en un tipo serializable
Categoría	Seguridad
La corrección interrumpe o no interrumpe	Poco problemático
Habilitado de forma predeterminada en .NET 9	No

Causa

Una clase o estructura marcada con un atributo de serialización XML o un atributo de contrato de datos contiene una propiedad o un campo DataSet o DataTable.

Los atributos de serialización XML incluyen:

• XmlAnyAttributeAttribute
• XmlAnyElementAttribute
• XmlArrayAttribute
• XmlArrayItemAttribute
• XmlChoiceIdentifierAttribute
• XmlElementAttribute
• XmlEnumAttribute
• XmlIgnoreAttribute
• XmlIncludeAttribute
• XmlRootAttribute
• XmlTextAttribute
• XmlTypeAttribute

Los atributos de serialización de contrato de datos incluyen:

• DataContractAttribute
• DataMemberAttribute
• IgnoreDataMemberAttribute
• KnownTypeAttribute

Descripción de la regla

Si se deserializa la entrada que no es de confianza y el gráfico de objetos deserializados contiene DataSet o DataTable, un atacante puede crear una carga malintencionada para realizar un ataque por denegación de servicio. Puede haber vulnerabilidades de ejecución de código remoto desconocidas.

Esta regla busca los tipos que no son seguros cuando se deserializan. Si el código no deserializa los tipos detectados, no hay vulnerabilidad de deserialización.

Para obtener más información, vea Guía de seguridad de DataSet y DataTable.

Cómo corregir infracciones

• Si es posible, use Entity Framework en lugar de DataSet y DataTable.
• Proteja los datos serializados contra alteraciones. Después de la serialización, firme criptográficamente los datos serializados. Antes de la deserialización, valide la firma criptográfica. Proteja la clave criptográfica para que no se revele y diseñe las rotaciones de clave.

Cuándo suprimir las advertencias

Se puede suprimir una advertencia de esta regla si:

• El tipo que se encuentra en esta regla nunca se deserializa, ya sea directa o indirectamente.
• Sabe que la entrada es de confianza. Considera que el límite de confianza de la aplicación y los flujos de datos pueden cambiar con el tiempo.
• Ha tomado una de las precauciones indicadas en Cómo corregir infracciones.

Supresión de una advertencia

Si solo quiere suprimir una única infracción, agregue directivas de preprocesador al archivo de origen para deshabilitar y volver a habilitar la regla.

#pragma warning disable CA2353
// The code that's violating the rule is on this line.
#pragma warning restore CA2353

Para deshabilitar la regla de un archivo, una carpeta o un proyecto, establezca su gravedad en none del archivo de configuración.

[*.{cs,vb}]
dotnet_diagnostic.CA2353.severity = none

Para obtener más información, consulte Procedimiento para suprimir advertencias de análisis de código.

Ejemplos de pseudocódigo

Infracción

using System.Data;
using System.Runtime.Serialization;

[XmlRoot]
public class MyClass
{
    public DataSet MyDataSet { get; set; }
}

Reglas relacionadas

CA2350: Asegurarse de que la entrada de DataTable.ReadXml() sea de confianza

CA2351: Asegúrese de que la entrada de DataSet.ReadXml() sea de confianza

CA2352: Un objeto DataSet o DataTable no seguro en un tipo serializable puede ser vulnerable a ataques de ejecución de código remoto

CA2354: Un objeto DataSet o DataTable no seguro en un gráfico de objetos deserializado puede ser vulnerable a ataques de ejecución de código remoto

CA2355: Objeto DataSet o DataTable no seguro en un gráfico de objetos deserializado

CA2356: Unsafe DataSet or DataTable in web deserialized object graph (DataTable o DataSet no seguro en un gráfico de objetos deserializado web)

CA2361: Asegurarse de que la clase autogenerada que contiene DataSet.ReadXml() no se utilice con datos que no son de confianza

CA2362: Un elemento DataSet o DataTable no seguro en un tipo serializable autogenerado puede ser vulnerable a ataques de ejecución remota de código