PT-2024-4460 · Go+10 · Netmail+10

Juho Nurminen

+1

·

Publicado

2024-01-12

·

Atualizado

2024-11-14

·

CVE-2024-24784

CVSS v2.0

7.5

Alta

VetorAV:N/AC:L/Au:N/C:P/I:P/A:P
Nome do software vulnerável e versões afetadas
Pacote net/mail em Go (versões afetadas não especificadas)
Descrição
O problema está relacionado à função ParseAddressList, que trata incorretamente os comentários dentro dos nomes de exibição. Isso pode levar a decisões de confiança diferentes por parte de programas que utilizam analisadores sintáticos distintos, permitindo potencialmente que um invasor remoto realize ataques de falsificação de identidade ao fornecer dados de entrada especialmente criados para esse fim.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.

RCE

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-20CWE-115

Identificadores relacionados

ALSA-2024:2562
ALSA-2024:3259
ALSA-2024:5258
ALSA-2024:6969
AZL-37466
AZL-37519
AZL-79048
BDU:2024-04962
BIT-GOLANG-2024-24784
CESA-2024_3259
CESA-2024_5258
CESA-2024_6969
CVE-2024-24784
GHSA-FGQ5-Q76C-GX78
GO-2024-2609
INFSA-2024_2562
INFSA-2024_3259
INFSA-2024_5258
INFSA-2024_6969
OESA-2024-1432
OPENSUSE-SU-2024:13752-1
OPENSUSE-SU-2024:13756-1
OPENSUSE-SU-2024_0812-1
OPENSUSE-SU-2024_3089-1
OPENSUSE-SU-2024_3755-1
RHSA-2024:0045
RHSA-2024:2562
RHSA-2024:3259
RHSA-2024:4023
RHSA-2024:5258
RHSA-2024:6969
RHSA-2024_2562
RHSA-2024_3259
RHSA-2024_5258
RHSA-2024_6969
RLSA-2024:2562
RLSA-2024:3259
RLSA-2024:5258
SUSE-SU-2024:0800-1
SUSE-SU-2024:0811-1
SUSE-SU-2024:0812-1
SUSE-SU-2024:0936-1
SUSE-SU-2024:3089-1
SUSE-SU-2024:3755-1
SUSE-SU-2024:3772-1
SUSE-SU-2024:3938-1
USN-6886-1
USN-7109-1
USN-7111-1

Produtos afetados

Almalinux
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Netmail