Vulnerabilidad en go-cvss (CVE-2022-39213)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-125
Lectura fuera de límites
Fecha de publicación:
15/09/2022
Última modificación:
18/08/2023
Descripción
go-cvss es un módulo Go para manipular el Sistema de Puntuación de Vulnerabilidad Común (CVSS). En las versiones afectadas, cuando es analizada una cadena de vectores CVSS versión v2.0 completa mediante "ParseVector", es posible que sea producida una lectura fuera de los límites debido a una falta de pruebas. El módulo Go entrará en pánico. El problema está parcheado en la etiqueta "v0.4.0", mediante el commit "d9d478ff0c13b8b09ace030db9262f3c2fe031f4". Es recomendado a usuarios actualizar. Los usuarios que no puedan actualizar pueden evitar este problema al analizar sólo las cadenas de vectores CVSS versión v2.0 que no tengan todos los atributos definidos (por ejemplo, "AV:N/AC:L/Au:N/C:P/I:P/A:C/E:U/RL:OF/RC:C/CDP:MH/TD:H/CR:M/IR:M/AR:M"). Como es indicado en [SECURITY.md](https://github.com/pandatix/go-cvss/blob/master/SECURITY.md), el CPE versión v2.3 para referirse a este módulo Go es "cpe:2.3:a:pandatix:go_cvss:*:*:*:*:*". La entrada ya ha sido solicitada al diccionario CPE de NVD
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:pandatix:go-cvss:*:*:*:*:*:go:*:* | 0.2.0 (incluyendo) | 0.4.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página