CVE-2022-28131

Опубликовано: 10 авг. 2022

Источник: nvd

CVSS3: 7.5

EPSS Низкий

Уязвимость паники приложения в "Decoder.Skip" при обработке глубоко вложенных XML-документов в "encoding/xml"

Описание

Неконтролируемая рекурсия в Decoder.Skip модуля encoding/xml позволяет злоумышленнику вызвать панику из-за истощения стека при обработке глубоко вложенного XML-документа.

Затронутые версии ПО

Go версии до 1.17.12
Go версии до 1.18.4

Тип уязвимости

Паника приложения

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия до 1.17.12 (исключая)

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия от 1.18.0 (включая) до 1.18.4 (исключая)

Конфигурация 2

cpe:2.3:o:fedoraproject:fedora:35:*:*:*:*:*:*:*

Конфигурация 3

cpe:2.3:a:netapp:cloud_insights_telegraf:-:*:*:*:*:*:*:*

EPSS

Процентиль: 2%

0.00014

Низкий

7.5 High

CVSS3

Дефекты

CWE-674

Связанные уязвимости

CVE-2022-28131

CVSS3: 7.5

ubuntu

больше 3 лет назад

Uncontrolled recursion in Decoder.Skip in encoding/xml before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a deeply nested XML document.

CVE-2022-28131

CVSS3: 7.3

redhat

больше 3 лет назад

Uncontrolled recursion in Decoder.Skip in encoding/xml before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a deeply nested XML document.

CVE-2022-28131

CVSS3: 7.5

msrc

больше 3 лет назад

Stack exhaustion from deeply nested XML documents in encoding/xml

CVE-2022-28131

CVSS3: 7.5

debian

больше 3 лет назад

Uncontrolled recursion in Decoder.Skip in encoding/xml before Go 1.17. ...

GHSA-3p2w-3263-9gr3

CVSS3: 7.5

github

больше 3 лет назад

Uncontrolled recursion in Decoder.Skip in encoding/xml before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via a deeply nested XML document.

EPSS

Процентиль: 2%

0.00014

Низкий

7.5 High

CVSS3

Дефекты

CWE-674