Ошибка была обнаружена в github.com/go-viper/mapstructure/v2, в компоненте обработки полей с использованием mapstructure.WeakDecode. Эта уязвимость позволяет раскрывать информацию посредством подробных сообщений об ошибках, которые могут привести к утечке конфиденциальных входных значений из-за искаженных данных, предоставленных пользователем, обработанных в критически важных для безопасности контекстах.
Показать оригинальное описание (английский)
A flaw was found in github.com/go-viper/mapstructure/v2, in the field processing component using mapstructure.WeakDecode. This vulnerability allows information disclosure through detailed error messages that may leak sensitive input values via malformed user-supplied data processed in security-critical contexts.
Матрица атаки
Вектор атаки
По сети
Атака по сети
Сложность атаки
Высокая
Сложно эксплуатировать
Требуемые привилегии
Не требуются
Права не нужны
Взаимодействие с пользователем
Требуется
Нужен клик жертвы
Влияние на конфиденциальность
Высокое
Полная утечка данных
Влияние на целостность
Нет
Нет модификации
Влияние на доступность
Нет
Нет отказа в обслуживании
СТРОКА CVSS ВЕКТОРА
CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:N/A:N