CVE-2026-41643

Nome do Software Vulnerável e Versões Afetadas GoBGP versões anteriores a 4.3.0

Descrição Um problema de Negação de Serviço (DoS) remoto existe onde uma mensagem BGP UPDATE malformada pode disparar um erro de tempo de execução, resultando em um pânico de índice fora de intervalo (index out of range). Isso ocorre durante o processamento de atributos AS de 4 bytes dentro da função UpdatePathAttrs4ByteAs() localizada em internal/pkg/table/message.go. Quando uma mensagem BGP UPDATE contém tanto um atributo AS PATH quanto um AS4 PATH, e o AS4 PATH (Tipo 17) aparece antes do AS PATH (Tipo 2) e está malformado, o software tenta remover o AS4 PATH da slice msg.PathAttributes. Essa exclusão faz com que os atributos subsequentes se desloquem para a esquerda, mas a função continua a usar um índice obsoleto para atualizar o AS PATH, levando ao travamento do processo.

Recomendações Atualizar para a versão 4.3.0.