Bwplotka

**Nome do software vulnerável e versões afetadas** Versões do client golang anteriores à 1.11.1 **Descrição** O servidor HTTP no client golang está suscetível a um ataque de negação de serviço (DoS) devido a cardinalidade ilimitada e a um possível esgotamento de memória ao processar solicitações com métodos HTTP não padronizados. Para ser afetado, um software instrumentado deve usar qualquer middleware `promhttp.InstrumentHandler*`, exceto `RequestsInFlight`, não filtrar nenhum método específico antes do middleware, passar métricas com o nome de rótulo `method` para o middleware e não ter nenhum firewall/LB/proxy que filtre solicitações com `method` desconhecido. **Recomendações** Para versões do client golang anteriores à 1.11.1, atualize para a versão 1.11.1 ou posterior para resolver o problema. Como solução temporária, considere remover o nome da etiqueta `method` do contador/medidor usado no InstrumentHandler. Como alternativa, desative os manipuladores promhttp afetados ou adicione um middleware personalizado antes do manipulador promhttp que irá sanitizar o método de solicitação fornecido pelo Go http.Request. Usar um proxy reverso ou um firewall de aplicativos web, configurado para permitir apenas um conjunto limitado de métodos, também pode ajudar a mitigar o problema.