Vulnerabilidad en Go (CVE-2023-39326)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
06/12/2023
Última modificación:
20/01/2024
Descripción
Un remitente HTTP malicioso puede usar extensiones de fragmentos para hacer que un receptor que lea el cuerpo de una solicitud o respuesta lea muchos más bytes de la red que los que hay en el cuerpo. Un cliente HTTP malicioso puede aprovechar esto aún más para hacer que un servidor lea automáticamente una gran cantidad de datos (hasta aproximadamente 1 GiB) cuando un controlador no puede leer el cuerpo completo de una solicitud. Las extensiones fragmentadas son una característica HTTP poco utilizada que permite incluir metadatos adicionales en el cuerpo de una solicitud o respuesta enviada utilizando la codificación fragmentada. El lector de codificación fragmentada net/http descarta estos metadatos. Un remitente puede aprovechar esto insertando un segmento de metadatos grande con cada byte transferido. El lector de fragmentos ahora produce un error si la proporción entre el cuerpo real y los bytes codificados es demasiado pequeña.
Impacto
Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* | 1.20.12 (excluyendo) | |
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* | 1.21.0-0 (incluyendo) | 1.21.5 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página