Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en la semántica de los prefijos del espacio de nombres en el paquete encoding/xml en Go (CVE-2020-29511)

Gravedad CVSS v3.1:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
14/12/2020
Última modificación:
27/07/2023

Descripción

El paquete encoding/xml en Go (todas las versiones) no conserva correctamente la semántica de los prefijos del espacio de nombres de los elementos durante los viajes de ida por vuelta del proceso de generación de token, que permite a un atacante diseñar entradas que se comportan de manera conflictiva durante las diferentes etapas de procesamiento en las aplicaciones previas afectadas

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* 1.17 (excluyendo)
cpe:2.3:a:netapp:trident:-:*:*:*:*:*:*:*