В компоненте github.com/antchfx/xpath была обнаружена ошибка. Удаленный злоумышленник может воспользоваться этой уязвимостью, отправив созданные логические выражения XPath, которые оцениваются как true. Это может вызвать бесконечный цикл в функции «логический запрос.Выбрать», что приведет к 100% загрузке ЦП и состоянию отказа в обслуживании (DoS) для затронутой системы.
Показать оригинальное описание (EN)
A flaw was found in the `github.com/antchfx/xpath` component. A remote attacker could exploit this vulnerability by submitting crafted Boolean XPath expressions that evaluate to true. This can cause an infinite loop in the `logicalQuery.Select` function, leading to 100% CPU utilization and a Denial of Service (DoS) condition for the affected system.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Нет
Нет модификации данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 5
https://access.redhat.com/security/cve/CVE-2026-4645
secalert@redhat.com
https://bugzilla.redhat.com/show_bug.cgi?id=2450214
secalert@redhat.com
https://github.com/antchfx/xpath/commit/afd4762cc342af56345a3fb4002a59281fcab494
secalert@redhat.com
https://github.com/antchfx/xpath/issues/121
secalert@redhat.com
https://github.com/golang/vulndb/issues/4526
secalert@redhat.com