PT-2021-7944 · Google+4 · Golang.Org/X/Text+4

Publicado

2021-10-06

·

Atualizado

2026-04-01

·

CVE-2021-38561

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:N/A:C
Nome do software vulnerável e versões afetadas
Versões do golang.org/x/text anteriores à 0.3.7
Descrição
O problema está relacionado a um ataque de negação de serviço que pode ocorrer devido a uma leitura fora dos limites durante a análise da tag de idioma BCP 47. Isso acontece devido a um cálculo de índice mal executado. Se uma entrada de usuário não confiável for analisada, ela pode ser usada como vetor para tal ataque. A vulnerabilidade está associada a uma leitura de buffer além de seus limites na memória, que um invasor remoto pode explorar para causar uma interrupção no serviço.
Recomendações
Para versões anteriores à 0.3.7, atualize para a versão 0.3.7 ou posterior para resolver o problema. Como solução temporária, considere evitar a análise de entradas de usuário não confiáveis com o componente golang.org/x/text/language até que um patch seja aplicado. Restrinja o acesso à função Parse para minimizar o risco de exploração.

Correção

DoS

Out of bounds Read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-125

Identificadores relacionados

AZL-41221
AZL-41469
AZL-44622
AZL-44952
AZL-45375
BDU:2023-05838
CLEANSTART-2026-MF20926
CVE-2021-38561
GHSA-PPP9-7JFF-5VJ2
GO-2021-0113
OPENSUSE-SU-2024:12599-1
OPENSUSE-SU-2024:14015-1
RHSA-2023:0407
USN-5873-1

Produtos afetados

Astra Linux
Debian
Linuxmint
Ubuntu
Golang.Org/X/Text