PT-2026-3903 · Go-Tuf · Go-Tuf

1Seal

·

Publicado

2026-01-19

·

Atualizado

2026-05-18

·

CVE-2026-23991

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas go-tuf versões 2.0.0 a 2.3.0
Descrição go-tuf, uma implementação em Go do The Update Framework (TUF), está suscetível a uma negação de serviço. Ao processar metadados do TUF, versões anteriores à 2.3.1 podem entrar em pânico se JSON inválido for recebido do repositório ou de seus espelhos. Isso ocorre antes da validação da assinatura, permitindo que um repositório ou espelho comprometido interrompa as operações do cliente sem exigir acesso à chave de assinatura.
Recomendações Atualize para a versão 2.3.1 ou posterior.

Exploit

Correção

DoS

Assertion Failure

Improper Check for Exceptional Conditions

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-617CWE-754

Identificadores relacionados

AZL-75186
BDU:2026-01060
CLEANSTART-2026-BD19566
CLEANSTART-2026-EZ47382
CLEANSTART-2026-NS33477
CLEANSTART-2026-SH14815
CLEANSTART-2026-WN01990
CVE-2026-23991
GHSA-846P-JG2W-W324
GO-2026-4348
OPENSUSE-SU-2026:10235-1
OPENSUSE-SU-2026:20386-1
SUSE-SU-2026:0403-1
SUSE-SU-2026:0757-1
SUSE-SU-2026:0777-1
SUSE-SU-2026:20904-1

Produtos afetados

Go-Tuf