PT-2022-21118 · Go+9 · Go+9

Christian Mehlmauer

Publicado

2022-07-12

Atualizado

2026-03-06

CVE-2022-32148

CVSS v3.1

7.5

Alta

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Nome do software vulnerável e versões afetadas

Versões do Go anteriores à 1.17.12

Versões do Go anteriores à 1.18.4

Descrição

O problema está relacionado à exposição indevida de endereços IP de clientes. Isso pode ocorrer ao chamar httputil.ReverseProxy.ServeHTTP com um objeto Request. Header contendo um valor nulo para o cabeçalho X-Forwarded-For. Como resultado, o ReverseProxy define o IP do cliente como o valor do cabeçalho X-Forwarded-For, contrariando sua documentação.

Recomendações

Para versões do Go anteriores à 1.17.12, atualize para o Go 1.17.12 ou posterior para resolver o problema.

Para versões do Go anteriores à 1.18.4, atualize para o Go 1.18.4 ou posterior para resolver o problema.

Como solução alternativa temporária, considere evitar o uso de um valor nulo para o cabeçalho X-Forwarded-For no mapa Request.Header ao chamar httputil.ReverseProxy.ServeHTTP.

Exploit

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Identificadores relacionados

ALSA-2022:5775

ALSA-2022:5799

ALSA-2022:7129

ALSA-2022:7519

ALSA-2022:7529

ALSA-2022:7648

ALSA-2022:8057

ALSA-2022:8250

ALSA-2023:2357

ALSA-2023:2758

ALSA-2023:2802

ALT-PU-2022-2310

ALT-PU-2022-2316

ALT-PU-2022-2873

ALT-PU-2023-1205

AZL-10538

AZL-79054

BIT-GOLANG-2022-32148

CESA-2022_5775

CESA-2022_7129

CESA-2022_7519

CESA-2022_7529

CESA-2022_7648

CESA-2023_2758

CESA-2023_2802

CVE-2022-32148

GO-2022-0520

MGASA-2022-0262

OESA-2022-1783

OESA-2024-1105

OESA-2024-1198

OESA-2024-1250

OESA-2025-1185

OPENSUSE-SU-2022_2671-1

OPENSUSE-SU-2022_2672-1

OPENSUSE-SU-2024:12189-1

OPENSUSE-SU-2024:12190-1

RHSA-2022:5775

RHSA-2022:5799

RHSA-2022:5866

RHSA-2022:6042

RHSA-2022:6113

RHSA-2022:7129

RHSA-2022:7398

RHSA-2022:7519

RHSA-2022:7529

RHSA-2022:7648

RHSA-2022:8057

RHSA-2022:8250

RHSA-2022:8626

RHSA-2022_5775

RHSA-2022_5799

RHSA-2022_7129

RHSA-2022_7519

RHSA-2022_7529

RHSA-2022_7648

RHSA-2022_8057

RHSA-2022_8250

RHSA-2023:0407

RHSA-2023:1275

RHSA-2023:2357

RHSA-2023:2758

RHSA-2023:2802

RHSA-2023_2357

RHSA-2023_2758

RHSA-2023_2802

RLSA-2022:5775

RLSA-2022:5799

RLSA-2022:7129

RLSA-2022:7519

RLSA-2022:7529

RLSA-2022:7648

RLSA-2022:8057

RLSA-2022:8250

SUSE-SU-2022:2671-1

SUSE-SU-2022:2672-1

SUSE-SU-2023:2312-1

USN-6038-1

USN-6038-2

Produtos afetados

Alt Linux

Almalinux

Centos

Debian

Linuxmint

Red Hat

Rocky Linux

Suse

Ubuntu

PT-2022-21118 · Go+9 · Go+9

CVE-2022-32148

Identificadores relacionados

Produtos afetados

Referências · 290