PT-2020-6441 · Unknown+4 · Gogo Protobuf+4

Hrsakai

·

Publicado

2020-08-07

·

Atualizado

2025-08-25

·

CVE-2021-3121

CVSS v2.0

9.0

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:C
Nome do software vulnerável e versões afetadas
Versões do GoGo Protobuf anteriores à 1.3.2
Descrição
O problema está relacionado à validação incorreta de índices no arquivo unmarshal.go da biblioteca GoGo Protobuf, o que pode levar a um erro de pânico fora dos limites ao analisar entradas criadas de forma maliciosa. Isso pode ser usado como um vetor de negação de serviço se as mensagens forem analisadas a partir de fontes não confiáveis. O problema afeta a confidencialidade, a integridade e a disponibilidade das informações protegidas.
Recomendações
Para versões anteriores à 1.3.2, atualize para a versão 1.3.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o uso dos métodos Unmarshal ao analisar mensagens de fontes não confiáveis para minimizar o risco de exploração.

Correção

Improper Validation of Array Index

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-129CWE-20

Identificadores relacionados

ALT-PU-2021-3445
ALT-PU-2023-7106
ALT-PU-2024-8028
BDU:2021-04800
BIT-CONSUL-2021-3121
BIT-PROTOBUF-2021-3121
CVE-2021-3121
GHSA-C3H9-896R-86JM
GO-2021-0053
OPENSUSE-SU-2024:10902-1
OPENSUSE-SU-2024:10903-1
OPENSUSE-SU-2024:10904-1
OPENSUSE-SU-2024:10905-1
OPENSUSE-SU-2024:11553-1
OPENSUSE-SU-2024:11554-1
RHSA-2020:5634
RHSA-2021:1006
RHSA-2021:2437
RHSA-2022:1276
SUSE-SU-2025:02977-1
SUSE-SU-2025_02977-1

Produtos afetados

Alt Linux
Astra Linux
Gogo Protobuf
Hashicorp Consul
Suse