Vulnerabilidad en la semántica de los prefijos del espacio de nombres en el paquete encoding/xml en Go (CVE-2020-29511)
Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/12/2020
Última modificación:
27/07/2023
Descripción
El paquete encoding/xml en Go (todas las versiones) no conserva correctamente la semántica de los prefijos del espacio de nombres de los elementos durante los viajes de ida por vuelta del proceso de generación de token, que permite a un atacante diseñar entradas que se comportan de manera conflictiva durante las diferentes etapas de procesamiento en las aplicaciones previas afectadas
Impacto
Puntuación base 3.x
5.60
Gravedad 3.x
MEDIA
Puntuación base 2.0
6.80
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* | 1.17 (excluyendo) | |
cpe:2.3:a:netapp:trident:-:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página