PT-2022-6959 · Google+6 · Golang.Org/X/Text/Language+6
Adam Korczynski
+1
·
Publicado
2022-10-11
·
Atualizado
2026-01-30
·
CVE-2022-32149
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:N/A:C |
Nome do software vulnerável e versões afetadas
golang.org/x/text/language (versões afetadas não especificadas)
Descrição
O problema está relacionado à função ParseAcceptLanguage, que pode ser explorada para causar uma negação de serviço através da criação de um cabeçalho Accept-Language específico. Esse cabeçalho pode fazer com que a função demore um tempo significativo para ser analisada, levando a uma negação de serviço. O problema se deve à complexidade de tempo quadrática do analisador de tags BCP 47, que está exposto a entradas de usuários não confiáveis. O número estimado de dispositivos potencialmente afetados em todo o mundo não está disponível. Não há informações sobre incidentes reais em que essa vulnerabilidade tenha sido explorada.
Recomendações
Para golang.org/x/text/language, considere limitar a complexidade total das tags passadas para ParseAcceptLanguage, restringindo o número de traços na string a 1000 como uma solução temporária até que um patch esteja disponível.
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
DoS
Missing Release of Resource after Effective Lifetime
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Astra Linux
Debian
Linuxmint
Suse
Ubuntu
Golang.Org/X/Text/Language