Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-30633

Опубликовано: 10 авг. 2022
Источник: nvd
CVSS3: 7.5
EPSS Низкий

Уязвимость неконтролируемой рекурсии в "Unmarshal" в "encoding/xml", позволяющая вызвать панику приложения из-за переполнения стека

Описание

Неконтролируемая рекурсия в функции Unmarshal модуля encoding/xml в языковой среде Go позволяет злоумышленнику вызвать панику программы. Эта уязвимость происходит из-за переполнения стека при разборе XML-документа в структуру Go, которая содержит вложенное поле с использованием тега any.

Затронутые версии ПО

  • Go версии до 1.17.12
  • Go версии до 1.18.4

Тип уязвимости

  • Истощение стека
  • Паника (аварийное завершение работы) программы

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия до 1.17.12 (исключая)
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия от 1.18.0 (включая) до 1.18.4 (исключая)

EPSS

Процентиль: 20%
0.00064
Низкий

7.5 High

CVSS3

Дефекты

CWE-674

Связанные уязвимости

ubuntu логотип

CVE-2022-30633

CVSS3: 7.5
ubuntu
почти 3 года назад

Uncontrolled recursion in Unmarshal in encoding/xml before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via unmarshalling an XML document into a Go struct which has a nested field that uses the 'any' field tag.

redhat логотип

CVE-2022-30633

CVSS3: 7.5
redhat
около 3 лет назад

Uncontrolled recursion in Unmarshal in encoding/xml before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via unmarshalling an XML document into a Go struct which has a nested field that uses the 'any' field tag.

msrc логотип

CVE-2022-30633

CVSS3: 7.5
msrc
почти 3 года назад

Описание отсутствует

debian логотип

CVE-2022-30633

CVSS3: 7.5
debian
почти 3 года назад

Uncontrolled recursion in Unmarshal in encoding/xml before Go 1.17.12 ...

github логотип

GHSA-r9vw-mppf-3883

CVSS3: 7.5
github
почти 3 года назад

Uncontrolled recursion in Unmarshal in encoding/xml before Go 1.17.12 and Go 1.18.4 allows an attacker to cause a panic due to stack exhaustion via unmarshalling an XML document into a Go struct which has a nested field that uses the 'any' field tag.

EPSS

Процентиль: 20%
0.00064
Низкий

7.5 High

CVSS3

Дефекты

CWE-674