CVE-2026-39832
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-502
Deserialización de datos no confiables
Fecha de publicación:
22/05/2026
Última modificación:
03/07/2026
Descripción
*** Pendiente de traducción *** When adding a key to a remote agent constraint extensions such as restrict-destination-v00@openssh.com were not serialized in the request. Destination restrictions were silently stripped when forwarding keys, allowing unrestricted use of the key on the remote host. The client now serializes all constraint extensions. Additionally, the in-memory keyring returned by NewKeyring() now rejects keys with unsupported constraint extensions instead of silently ignoring them.
Impacto
Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:golang:crypto:*:*:*:*:*:go:*:* | 0.52.0 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://go.dev/cl/778642
- https://go.dev/issue/79435
- https://groups.google.com/g/golang-announce/c/a082jnz-LvI
- https://pkg.go.dev/vuln/GO-2026-5006
- https://access.redhat.com/security/cve/CVE-2026-39832
- https://bugzilla.redhat.com/show_bug.cgi?id=2480685
- https://security.access.redhat.com/data/csaf/v2/vex/2026/cve-2026-39832.json



