Функция DataRow.Decode не может правильно проверить длину поля. Вредоносный или скомпрометированный сервер PostgreSQL может отправить сообщение DataRow с отрицательной длиной поля, что приведет к панике за пределами диапазона границ среза.
Показать оригинальное описание (EN)
The DataRow.Decode function fails to properly validate field lengths. A malicious or compromised PostgreSQL server can send a DataRow message with a negative field length, causing a slice bounds out of range panic.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Ссылки 4
https://github.com/golang/vulndb/issues/4518
security@golang.org
https://github.com/jackc/pgx/issues/2507
security@golang.org
https://pkg.go.dev/vuln/GO-2026-4518
security@golang.org
https://securityinfinity.com/research/memory-safety-vulnerabilities-in-go-postg…
134c704f-9b21-4f2e-91b3-4a467353bcc0