anonhaven

CVE-2026-32288

MEDIUM CVSS 3.1: 5,5 EPSS 0.00%
Обновлено 16 апреля 2026
Go Standard Library
Параметр Значение
CVSS 5,5 (MEDIUM)
Уязвимые версии 1.26.0 — 1.26.2
Устранено в версии 1.25.9
Тип уязвимости CWE-400: Uncontrolled Resource Consumption, CWE-770 (Выделение ресурсов без ограничений)
Поставщик Go Standard Library
Публичный эксплойт Нет

tar.Reader может выделять неограниченный объем памяти при чтении вредоносного архива, содержащего большое количество разреженных регионов, закодированных в формате «старой разреженной карты GNU».

Показать оригинальное описание (EN)

tar.Reader can allocate an unbounded amount of memory when reading a maliciously-crafted archive containing a large number of sparse regions encoded in the "old GNU sparse map" format.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Требуется
Нужно действие пользователя

Последствия

Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-400: Uncontrolled Resource Consumption
CWE-770 Allocation Without Limits (Выделение ресурсов без ограничений)

Уязвимые продукты 2

Конфигурация От (включительно) До (исключительно)
Golang Go
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
 1.25.9
Golang Go
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
 1.26.0 1.26.2

Ссылки 4

https://go.dev/cl/763766
NVD
https://go.dev/issue/78301
NVD
https://groups.google.com/g/golang-announce/c/0uYbvbPZRWU
NVD
https://pkg.go.dev/vuln/GO-2026-4869
NVD
Share Post Share Share Share

Связанные уязвимости

CVE-2026-32289

Go Standard Library

6,1