Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-01060

Опубликовано: 19 янв. 2026
Источник: fstec
CVSS3: 5.9
CVSS2: 5.4
EPSS Низкий

Описание

Уязвимость функции metadata.checkType() фреймворка для обеспечения безопасности систем обновления программного обеспечения go-tuf связана с возвращением недействительных JSON-метаданных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании

Вендор

TUF project

Наименование ПО

go-tuf

Версия ПО

от 2.0.0 до 2.3.1 (go-tuf)

Тип ПО

Сетевое программное средство

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 5,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 5,9)

Возможные меры по устранению уязвимости

Использование рекомендаций:
https://github.com/theupdateframework/go-tuf/releases/tag/v2.3.1
https://github.com/theupdateframework/go-tuf/commit/73345ab6b0eb7e59d525dac17a428f043074cef6

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 4%
0.0002
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2026-23991

CVSS3: 5.9
ubuntu
17 дней назад

go-tuf is a Go implementation of The Update Framework (TUF). Starting in version 2.0.0 and prior to version 2.3.1, if the TUF repository (or any of its mirrors) returns invalid TUF metadata JSON (valid JSON but not well formed TUF metadata), the client will panic during parsing, causing a denial of service. The panic happens before any signature is validated. This means that a compromised repository/mirror/cache can DoS clients without having access to any signing key. Version 2.3.1 fixes the issue. No known workarounds are available.

nvd логотип

CVE-2026-23991

CVSS3: 5.9
nvd
17 дней назад

go-tuf is a Go implementation of The Update Framework (TUF). Starting in version 2.0.0 and prior to version 2.3.1, if the TUF repository (or any of its mirrors) returns invalid TUF metadata JSON (valid JSON but not well formed TUF metadata), the client will panic during parsing, causing a denial of service. The panic happens before any signature is validated. This means that a compromised repository/mirror/cache can DoS clients without having access to any signing key. Version 2.3.1 fixes the issue. No known workarounds are available.

debian логотип

CVE-2026-23991

CVSS3: 5.9
debian
17 дней назад

go-tuf is a Go implementation of The Update Framework (TUF). Starting ...

github логотип

GHSA-846p-jg2w-w324

CVSS3: 5.9
github
18 дней назад

go-tuf affected by client DoS via malformed server response

EPSS

Процентиль: 4%
0.0002
Низкий

5.9 Medium

CVSS3

5.4 Medium

CVSS2