Vulnerabilidad en Go Project (CVE-2022-41721)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
13/01/2023
Última modificación:
04/04/2025
Descripción
Es posible un ataque de contrabando de solicitudes cuando se utiliza MaxBytesHandler. Cuando se utiliza MaxBytesHandler, el cuerpo de una solicitud HTTP no se consume por completo. Cuando el servidor intenta leer tramas HTTP2 de la conexión, leerá el cuerpo de la solicitud HTTP, que podría ser manipulado por un atacante para representar solicitudes HTTP2 arbitrarias.
Impacto
Puntuación base 3.x
7.50
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:golang:h2c:*:*:*:*:*:go:*:* | 2022-11-04 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://go.dev/cl/447396
- https://go.dev/issue/56352
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/X3H3EWQXM2XL5AGBX6UL443JEJ3GQXJN/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/X5DXTLLWN6HKI5I35EUZRBISTNZJ75GP/
- https://pkg.go.dev/vuln/GO-2023-1495
- https://go.dev/cl/447396
- https://go.dev/issue/56352
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/X3H3EWQXM2XL5AGBX6UL443JEJ3GQXJN/
- https://lists.fedoraproject.org/archives/list/package-announce@lists.fedoraproject.org/message/X5DXTLLWN6HKI5I35EUZRBISTNZJ75GP/
- https://pkg.go.dev/vuln/GO-2023-1495