PT-2022-14222 · Go+9 · Go+9
Juho Nurminen
·
Publicado
2022-07-12
·
Atualizado
2026-03-06
·
CVE-2022-1962
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Go anteriores à 1.17.12
Versões do Go anteriores à 1.18.4
Descrição
O problema está relacionado à recursão descontrolada nas funções Parse em go/parser, o que pode causar um panic devido ao esgotamento da pilha por meio de tipos ou declarações profundamente aninhados. Um invasor pode explorar essa vulnerabilidade chamando qualquer uma das funções Parse em código-fonte Go que contenha tipos ou declarações profundamente aninhados.
Recomendações
Para versões do Go anteriores à 1.17.12, atualize para a versão 1.17.12 ou posterior para resolver o problema.
Para versões do Go anteriores à 1.18.4, atualize para a versão 1.18.4 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso de tipos ou declarações profundamente aninhados no código-fonte do Go para minimizar o risco de exploração.
Exploit
Correção
Uncontrolled Recursion
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Debian
Go
Linuxmint
Red Hat
Rocky Linux
Suse
Ubuntu