Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2026-04129

Опубликовано: 06 мар. 2026
Источник: fstec
CVSS3: 6.1
CVSS2: 6.4
EPSS Низкий

Описание

Уязвимость модуля html/template языка программирования Go связана с непринятием мер по защите структуры веб-страницы. Эксплуатация уязвимости позволяет нарушителю, действующему удаленно, проводить межсайтовые сценарные атаки (XSS)

Вендор

Red Hat Inc.
The Go Project
Grafana Labs

Наименование ПО

Red Hat Enterprise Linux
Openshift Service Mesh
Red Hat OpenShift Container Platform
Red Hat OpenShift Virtualization
Red Hat Enterprise Linux AI
Go
Grafana Alloy

Версия ПО

8 (Red Hat Enterprise Linux)
2 (Openshift Service Mesh)
4 (Red Hat OpenShift Container Platform)
9 (Red Hat Enterprise Linux)
4 (Red Hat OpenShift Virtualization)
10 (Red Hat Enterprise Linux)
3 (Openshift Service Mesh)
3 (Red Hat Enterprise Linux AI)
до 1.25.8 (Go)
от 1.26.0-0 до 1.26.1 (Go)
1.14.1 (Grafana Alloy)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Red Hat Inc. Red Hat Enterprise Linux 9
Red Hat Inc. Red Hat Enterprise Linux 10
Red Hat Inc. Red Hat Enterprise Linux AI 3

Уровень опасности уязвимости

Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,4)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 6,1)

Возможные меры по устранению уязвимости

Использование рекомендаций производителя:
https://pkg.go.dev/vuln/GO-2026-4603
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/cve-2026-27142
Для Grafana:
https://github.com/grafana/alloy/releases
Компенсирующие меры:
- минимизация пользовательских привилегий;
- отключение/удаление неиспользуемых учётных записей пользователей;
- контроль журналов аудита кластера для отслеживания попыток эксплуатации уязвимости.

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 2%
0.00012
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2

Связанные уязвимости

redos логотип

ROS-20260327-73-0015

CVSS3: 6.1
redos
14 дней назад

Уязвимость golang

ubuntu логотип

CVE-2026-27142

CVSS3: 6.1
ubuntu
около 1 месяца назад

Actions which insert URLs into the content attribute of HTML meta tags are not escaped. This can allow XSS if the meta tag also has an http-equiv attribute with the value "refresh". A new GODEBUG setting has been added, htmlmetacontenturlescape, which can be used to disable escaping URLs in actions in the meta content attribute which follow "url=" by setting htmlmetacontenturlescape=0.

redhat логотип

CVE-2026-27142

CVSS3: 5.4
redhat
около 1 месяца назад

Actions which insert URLs into the content attribute of HTML meta tags are not escaped. This can allow XSS if the meta tag also has an http-equiv attribute with the value "refresh". A new GODEBUG setting has been added, htmlmetacontenturlescape, which can be used to disable escaping URLs in actions in the meta content attribute which follow "url=" by setting htmlmetacontenturlescape=0.

nvd логотип

CVE-2026-27142

CVSS3: 6.1
nvd
около 1 месяца назад

Actions which insert URLs into the content attribute of HTML meta tags are not escaped. This can allow XSS if the meta tag also has an http-equiv attribute with the value "refresh". A new GODEBUG setting has been added, htmlmetacontenturlescape, which can be used to disable escaping URLs in actions in the meta content attribute which follow "url=" by setting htmlmetacontenturlescape=0.

msrc логотип

CVE-2026-27142

msrc
24 дня назад

URLs in meta content attribute actions are not escaped in html/template

EPSS

Процентиль: 2%
0.00012
Низкий

6.1 Medium

CVSS3

6.4 Medium

CVSS2