PT-2021-11585 · X/Text+6 · X/Text+6

Ph1048

·

Publicado

2021-01-02

·

Atualizado

2023-02-16

·

CVE-2020-28852

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
**Nome do software vulnerável e versões afetadas:
Versões do x/text anteriores à 0.3.5
Versão 1.15.4 do x/text
Descrição:
Ocorre um erro de pânico “slice bounds out of range” em language.ParseAcceptLanguage durante o processamento de uma tag BCP 47. O pacote x/text/language deveria ser capaz de analisar um cabeçalho HTTP Accept-Language.
Recomendações:
Para versões anteriores à 0.3.5, atualize para a versão 0.3.5 ou posterior.
Para a versão 1.15.4, atualize para uma versão posterior à 1.15.4.
Como solução temporária, considere desativar a função language.ParseAcceptLanguage até que um patch esteja disponível.

Exploit

Correção

Improper Validation of Array Index

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-129

Identificadores relacionados

ALSA-2022:7129
ALSA-2022:7954
AZL-41455
AZL-44148
CESA-2022_7129
CVE-2020-28852
RHSA-2022:1276
RHSA-2022:7129
RHSA-2022:7954
RHSA-2022_7129
RHSA-2022_7954
RLSA-2022:7129
USN-5873-1

Produtos afetados

Almalinux
Centos
Linuxmint
Red Hat
Rocky Linux
Ubuntu
X/Text