Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Go Project (CVE-2024-24789)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
05/06/2024
Última modificación:
31/01/2025

Descripción

El manejo que hace el paquete archive/zip de ciertos tipos de archivos zip no válidos difiere del comportamiento de la mayoría de las implementaciones zip. Esta desalineación podría aprovecharse para crear un archivo zip con contenidos que varían según la implementación que lea el archivo. El paquete archive/zip ahora rechaza los archivos que contienen estos errores.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* 1.21.11 (excluyendo)
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* 1.22.0 (incluyendo) 1.22.4 (excluyendo)