CVE-2021-41772

Опубликовано: 08 нояб. 2021

Источник: nvd

CVSS3: 7.5

CVSS2: 5

EPSS Низкий

Уязвимость в "archive/zip" в Go, вызывающая сбой при обработке некорректного ZIP-архива

Описание

В Go до версии 1.16.10 и 1.17.x до 1.17.3 обнаружена уязвимость в archive/zip. Злоумышленник может вызвать сбой (panic) через функцию Reader.Open, используя специально созданный ZIP-архив с некорректным именем или пустым полем имени файла.

Затронутые версии ПО

Go до версии 1.16.10
Go версии 1.17.x до 1.17.3

Тип уязвимости

Сбой приложения (паника)

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия до 1.16.10 (исключая)

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия от 1.17.0 (включая) до 1.17.3 (исключая)

Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:34:*:*:*:*:*:*:*

cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:a:oracle:timesten_in-memory_database:-:*:*:*:*:*:*:*

EPSS

Процентиль: 20%

0.00062

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-20

Связанные уязвимости

CVE-2021-41772

CVSS3: 7.5

ubuntu

больше 3 лет назад

Go before 1.16.10 and 1.17.x before 1.17.3 allows an archive/zip Reader.Open panic via a crafted ZIP archive containing an invalid name or an empty filename field.

CVE-2021-41772

CVSS3: 7.5

redhat

почти 4 года назад

Go before 1.16.10 and 1.17.x before 1.17.3 allows an archive/zip Reader.Open panic via a crafted ZIP archive containing an invalid name or an empty filename field.

CVE-2021-41772

CVSS3: 7.5

msrc

больше 3 лет назад

Описание отсутствует

CVE-2021-41772

CVSS3: 7.5

debian

больше 3 лет назад

Go before 1.16.10 and 1.17.x before 1.17.3 allows an archive/zip Reade ...

GHSA-8rv2-6fw3-rxjg

CVSS3: 7.5

github

около 3 лет назад

Go before 1.16.10 and 1.17.x before 1.17.3 allows an archive/zip Reader.Open panic via a crafted ZIP archive containing an invalid name or an empty filename field.

EPSS

Процентиль: 20%

0.00062

Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-20