PT-2021-11584 · X/Text+7 · X/Text+7

Publicado

2021-01-02

·

Atualizado

2024-03-06

·

CVE-2020-28851

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
**Nome do software vulnerável e versões afetadas:
x/text versão 1.15.4
Descrição:
Ocorre um erro de pânico do tipo “índice fora do intervalo” na função language.ParseAcceptLanguage durante a análise da extensão -u-. O pacote x/text/language deveria ser capaz de analisar um cabeçalho HTTP Accept-Language.
Recomendações:
Para a versão 1.15.4, considere atualizar para uma versão mais recente a fim de mitigar o risco; no entanto, no momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade. Como solução alternativa temporária, considere restringir a análise de cabeçalhos HTTP Accept-Language para minimizar o risco de exploração.

Exploit

Improper Validation of Array Index

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-129

Identificadores relacionados

ALSA-2022:7129
ALSA-2022:7954
AZL-41422
AZL-45033
BIT-GOLANG-2020-28851
CESA-2022_1762
CESA-2022_7129
CVE-2020-28851
RHSA-2022:1276
RHSA-2022:1762
RHSA-2022:7129
RHSA-2022:7954
RHSA-2022_1762
RHSA-2022_7129
RHSA-2022_7954
RLSA-2022:7129
USN-5873-1

Produtos afetados

Almalinux
Astra Linux
Centos
Linuxmint
Red Hat
Rocky Linux
Ubuntu
X/Text