CVE-2026-42501

Nome do Software Vulnerável e Versões Afetadas Go (versões afetadas não especificadas)

Descrição Uma falha na validação de somas de verificação (checksums) de módulos do comando go permite que um proxy de módulo malicioso ignore a validação do banco de dados de checksums. Isso ocorre quando o banco de dados de checksums retorna uma resposta bem-sucedida que não contém nenhuma entrada para o módulo, levando o comando go a permitir incorretamente que a validação seja bem-sucedida. Consequentemente, um proxy malicioso pode fornecer versões alteradas do toolchain do Go ou de módulos. Isso é particularmente crítico quando uma versão diferente do toolchain é selecionada por meio da variável de ambiente GOTOOLCHAIN, de um arquivo go.work ou de um arquivo go.mod, pois o comando go baixará e executará o toolchain fornecido pelo proxy. O problema afeta usuários que utilizam um proxy de módulo (GOMODPROXY) ou banco de dados de checksums (GOSUMDB) não confiável.

Recomendações Atualize o toolchain base do Go. Usuários com um GOPROXY não confiável podem revalidar todas as dependências do módulo atual executando "rm go.sum ; go mod tidy ; go mod verify".