CVE

Vulnerabilidad en go-resty (CVE-2023-45286)

Severidad:
MEDIA
Type:
CWE-362 Ejecución concurrente utilizando recursos compartidos con una incorrecta sincronización (Condición de carrera)
Fecha de publicación:
28/11/2023
Última modificación:
04/01/2024

Descripción

Una condición de ejecución en go-resty puede dar como resultado la divulgación del cuerpo de la solicitud HTTP entre solicitudes. Esta condición se puede desencadenar llamando a sync.Pool.Put con el mismo *bytes.Buffer más de una vez, cuando los reintentos de solicitud están habilitados y se produce un reintento. La llamada a sync.Pool.Get devolverá un bytes.Buffer al que no se le ha llamado bytes.Buffer.Reset. Este búfer sucio contendrá el cuerpo de la solicitud HTTP de una solicitud no relacionada, y go-resty le agregará el cuerpo de la solicitud HTTP actual, enviando dos cuerpos en una solicitud. El sync.Pool en cuestión se define a nivel de paquete, por lo que un servidor completamente ajeno podría recibir el cuerpo de la solicitud.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:resty_project:resty:*:*:*:*:*:go:*:* 2.10.0 (incluyendo)


botón arriba