Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en go-cvss (CVE-2022-39213)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-125 Lectura fuera de límites
Fecha de publicación:
15/09/2022
Última modificación:
18/08/2023

Descripción

go-cvss es un módulo Go para manipular el Sistema de Puntuación de Vulnerabilidad Común (CVSS). En las versiones afectadas, cuando es analizada una cadena de vectores CVSS versión v2.0 completa mediante "ParseVector", es posible que sea producida una lectura fuera de los límites debido a una falta de pruebas. El módulo Go entrará en pánico. El problema está parcheado en la etiqueta "v0.4.0", mediante el commit "d9d478ff0c13b8b09ace030db9262f3c2fe031f4". Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizar pueden evitar este problema al analizar sólo las cadenas de vectores CVSS versión v2.0 que no tengan todos los atributos definidos (por ejemplo, "AV:N/AC:L/Au:N/C:P/I:P/A:C/E:U/RL:OF/RC:C/CDP:MH/TD:H/CR:M/IR:M/AR:M"). Como es indicado en [SECURITY.md](https://github.com/pandatix/go-cvss/blob/master/SECURITY.md), el CPE versión v2.3 para referirse a este módulo Go es "cpe:2.3:a:pandatix:go_cvss:*:*:*:*:*". La entrada ya ha sido solicitada al diccionario CPE de NVD

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:pandatix:go-cvss:*:*:*:*:*:go:*:* 0.2.0 (incluyendo) 0.4.0 (excluyendo)