CVE-2026-45090

Nome do Software Vulnerável e Versões Afetadas dalfox (versões afetadas não especificadas)

Descrição Um erro de ordenação estrutural na função ParameterAnalysis() em pkg/scanning/parameterAnalysis.go permite que um invasor remoto não autenticado cause a queda do processo do servidor dalfox. O problema ocorre porque o canal results é fechado após a conclusão do primeiro estágio de processamento, mas é então passado para um segundo estágio que processa parâmetros de corpo POST. Quando a função processParams() identifica um parâmetro refletido no segundo estágio, ela tenta escrever no canal results já fechado, disparando um pânico de tempo de execução do Go.

Isso pode ser acionado remotamente via API REST (porta padrão 6664) quando a variável data é fornecida na requisição e a URL de destino reflete pelo menos um parâmetro. Como a configuração padrão não exige uma chave de API, qualquer peer de rede pode executar este ataque, resultando em uma negação de serviço completa onde o processo do servidor é encerrado e requer reinicialização manual.

Recomendações Alocar um novo canal results para o segundo estágio de análise de parâmetros em vez de reutilizar o canal fechado do primeiro estágio. Mesclar ambos os mapas de parâmetros em uma única fila compartilhada e estágio de processamento para eliminar o design de dois estágios. Como medida paliativa temporária, implementar um mecanismo de recover dentro das goroutines da função processParams() para evitar que todo o processo trave quando ocorrer um pânico.