anonhaven

CVE-2026-32283

HIGH CVSS 3.1: 7,5 EPSS 0.02%
Обновлено 16 апреля 2026
Golang
Параметр Значение
CVSS 7,5 (HIGH)
Уязвимые версии 1.26.0 — 1.26.2
Устранено в версии 1.25.9
Тип уязвимости CWE-770 (Выделение ресурсов без ограничений)
Поставщик Golang
Публичный эксплойт Нет

Если одна сторона TLS-соединения отправляет несколько сообщений об обновлении ключей после рукопожатия в одной записи, соединение может заблокироваться, что приведет к неконтролируемому потреблению ресурсов. Это может привести к отказу в обслуживании. Это влияет только на TLS 1.3.

Показать оригинальное описание (EN)

If one side of the TLS connection sends multiple key update messages post-handshake in a single record, the connection can deadlock, causing uncontrolled consumption of resources. This can lead to a denial of service. This only affects TLS 1.3.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-770 Allocation Without Limits (Выделение ресурсов без ограничений)

Уязвимые продукты 2

Конфигурация От (включительно) До (исключительно)
Golang Go
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
 1.25.9
Golang Go
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
 1.26.0 1.26.2

Ссылки 4

https://go.dev/cl/763767
security@golang.org
https://go.dev/issue/78334
security@golang.org
https://groups.google.com/g/golang-announce/c/0uYbvbPZRWU
security@golang.org
https://pkg.go.dev/vuln/GO-2026-4870
security@golang.org
Share Post Share Share Share

Связанные уязвимости

CVE-2026-33810

Golang

8,2

CVE-2026-32289

Go Standard Library

6,1

CVE-2026-32288

Go Standard Library

5,5

CVE-2026-32282

Golang

6,4

CVE-2026-32281

Golang

7,5