anonhaven

CVE-2026-27143

CRITICAL CVSS 3.1: 9,8 EPSS 0.02%
Обновлено 16 апреля 2026
Golang
Параметр Значение
CVSS 9,8 (CRITICAL)
Уязвимые версии 1.26.0 — 1.26.2
Устранено в версии 1.25.9
Поставщик Golang
Публичный эксплойт Нет

Арифметические операции над индукционными переменными в циклах не проверялись правильно на предмет отсутствия или переполнения. В результате компилятор допускает недопустимую индексацию во время выполнения, что потенциально может привести к повреждению памяти.

Показать оригинальное описание (EN)

Arithmetic over induction variables in loops were not correctly checked for underflow or overflow. As a result, the compiler would allow for invalid indexing to occur at runtime, potentially leading to memory corruption.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Уязвимые продукты 2

Конфигурация От (включительно) До (исключительно)
Golang Go
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
 1.25.9
Golang Go
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
 1.26.0 1.26.2

Ссылки 4

https://go.dev/cl/763765
security@golang.org
https://go.dev/issue/78333
security@golang.org
https://groups.google.com/g/golang-announce/c/0uYbvbPZRWU
security@golang.org
https://pkg.go.dev/vuln/GO-2026-4868
security@golang.org
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33810

Golang

8,2

CVE-2026-32289

Go Standard Library

6,1

CVE-2026-32288

Go Standard Library

5,5

CVE-2026-32283

Golang

7,5

CVE-2026-32282

Golang

6,4