ALT-PU-2026-7332-3

BDU:2026-04129

MEDIUM6.1

Уязвимость модуля html/template языка программирования Go, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS)

Published: 2026-03-26Modified: 2026-04-15

CVSS 3.xMEDIUM 6.1

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 2.0MEDIUM 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N

References

BDU:2026-07949

HIGH7.5

Уязвимость функций net.Dial() и net.LookupPort() языка программирования Go операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2026-06-07

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

References

BDU:2026-07950

HIGH7.5

Уязвимость функций LookupCNAME() языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2026-06-07

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

References

BDU:2026-07951

MEDIUM5.3

Уязвимость команды go bug языка программирования Go, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов

Published: 2026-06-07

CVSS 3.xMEDIUM 5.3

CVSS:3.x/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:H/A:N

CVSS 2.0MEDIUM 4.5

CVSS:2.0/AV:L/AC:H/Au:S/C:P/I:C/A:N

References

BDU:2026-07952

MEDIUM5.9

Уязвимость команды go tool pack языка программирования Go, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов

Published: 2026-06-07

CVSS 3.xMEDIUM 5.9

CVSS:3.x/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N

CVSS 2.0MEDIUM 4.6

CVSS:2.0/AV:L/AC:L/Au:S/C:N/I:C/A:N

References

BDU:2026-07953

HIGH7.5

Уязвимость функций ParseAddress(), ParseAddressList() и ParseDate() языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2026-06-07

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

References

BDU:2026-07954

MEDIUM6.1

Уязвимость языка программирования Go, связанная с непринятием мер по нейтрализации специальных элементов, позволяющая нарушителю проводить межсайтовые сценарные атаки

Published: 2026-06-07

CVSS 3.xMEDIUM 6.1

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 2.0MEDIUM 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N

References

BDU:2026-07955

HIGH7.5

Уязвимость функции consumePhrase() языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2026-06-07

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

References

BDU:2026-07956

MEDIUM6.1

Уязвимость языка программирования Go, связанная с неправильным кодированием или экранированием выходных данны, позволяющая нарушителю получить доступ на чтение и изменение данных

Published: 2026-06-07

CVSS 3.xMEDIUM 6.1

CVSS:3.x/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

CVSS 2.0MEDIUM 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:P/A:N

References

BDU:2026-08060

MEDIUM5.3

Уязвимость встроенного обратного прокси-сервера языка программирования Go, позволяющая нарушителю осуществить SSRF-атаку

Published: 2026-06-09

CVSS 3.xMEDIUM 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0MEDIUM 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:N

References

BDU:2026-08061

HIGH7.5

Уязвимость модулей GOMODPROXY и GOSUMDB языка программирования Go, позволяющая нарушителю обойти ограничения безопасности и получить доступ на чтение и изменение данных

Published: 2026-06-09

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:H

CVSS 2.0HIGH 7.6

CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:C/A:C

References

BDU:2026-08587

HIGH7.5

Уязвимость реализации протокола HTTP/2 языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2026-06-22

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

References

CVE-2026-27142

MEDIUM6.1

Actions which insert URLs into the content attribute of HTML meta tags are not escaped. This can allow XSS if the meta tag also has an http-equiv attribute with the value "refresh". A new GODEBUG setting has been added, htmlmetacontenturlescape, which can be used to disable escaping URLs in actions in the meta content attribute which follow "url=" by setting htmlmetacontenturlescape=0.

Published: 2026-03-06Modified: 2026-06-17

CVSS 3.xMEDIUM 6.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

References

CVE-2026-33811

HIGH7.5

When using LookupCNAME with the cgo DNS resolver, a very long CNAME response can trigger a double-free of C memory and a crash.

Published: 2026-05-07Modified: 2026-06-17

CVSS 3.xHIGH 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

References

CVE-2026-33814

HIGH7.5

When processing HTTP/2 SETTINGS frames, transport will enter an infinite loop of writing CONTINUATION frames if it receives a SETTINGS_MAX_FRAME_SIZE with a value of 0.

Published: 2026-05-07Modified: 2026-06-17

CVSS 3.xHIGH 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

References

CVE-2026-39817

MEDIUM5.9

The "go tool pack" subcommand (usually used only by the compiler as an internal tool with known-good inputs) does not sanitize output filenames. Extracting a malicious archive file with the "pack" subcommand can write files to arbitrary locations on the filesystem.

Published: 2026-05-07Modified: 2026-06-17

CVSS 3.xMEDIUM 5.9

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:C/C:N/I:H/A:N

References

CVE-2026-39819

MEDIUM5.3

The "go bug" command writes to two files with predictable names in the system temporary directory (for example, "/tmp"). An attacker with access to the temporary directory can create a symlink in one of these names, causing "go bug" to overwrite the target of the symlink.

Published: 2026-05-07Modified: 2026-06-17

CVSS 3.xMEDIUM 5.3

CVSS:3.x/CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:L/I:H/A:N

References

CVE-2026-39820

HIGH7.5

Well-crafted inputs reaching ParseAddress, ParseAddressList, and ParseDate were able to trigger excessive CPU exhaustion and memory allocations.

Published: 2026-05-07Modified: 2026-06-17

CVSS 3.xHIGH 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

References

CVE-2026-39823

MEDIUM6.1

CVE-2026-27142 fixed a vulnerability in which URLs were not correctly escaped inside of a tag's attribute. If the URL content were to insert ASCII whitespaces around the '=' rune inside of the attribute, the escaper would fail to similarly escape it, leading to XSS.

Published: 2026-05-07Modified: 2026-06-17

CVSS 3.xMEDIUM 6.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

References

CVE-2026-39825

MEDIUM5.3

ReverseProxy can forward queries containing parameters not visible to Rewrite functions. When used with a Rewrite function, or a Director function which parses query parameters, ReverseProxy sanitizes the forwarded request to remove query parameters which are not parsed by url.ParseQuery. ReverseProxy does not take ParseQuery's limit on the total number of query parameters (controlled by GODEBUG=urlmaxqueryparams=N) into account. This can permit ReverseProxy to forward a request containing a query parameter that is not visible to the Rewrite function. For example, the query "a1=x&a2=x&...&a10000=x&hidden=y" can forward the parameter "hidden=y" while hiding it from the proxy's Rewrite function.

Published: 2026-05-07Modified: 2026-06-17

CVSS 3.xMEDIUM 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

References

CVE-2026-39826

MEDIUM6.1

Package update golang in branch sisyphus

Closed issues (24)

Уязвимость модуля html/template языка программирования Go, позволяющая нарушителю проводить межсайтовые сценарные атаки (XSS)

Уязвимость функций net.Dial() и net.LookupPort() языка программирования Go операционных систем Windows, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функций LookupCNAME() языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость команды go bug языка программирования Go, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов

Уязвимость команды go tool pack языка программирования Go, позволяющая нарушителю получить доступ на чтение и запись произвольных файлов

Уязвимость функций ParseAddress(), ParseAddressList() и ParseDate() языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость функции consumePhrase() языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость встроенного обратного прокси-сервера языка программирования Go, позволяющая нарушителю осуществить SSRF-атаку

Уязвимость модулей GOMODPROXY и GOSUMDB языка программирования Go, позволяющая нарушителю обойти ограничения безопасности и получить доступ на чтение и изменение данных

Уязвимость реализации протокола HTTP/2 языка программирования Go, позволяющая нарушителю вызвать отказ в обслуживании

When using LookupCNAME with the cgo DNS resolver, a very long CNAME response can trigger a double-free of C memory and a crash.

When processing HTTP/2 SETTINGS frames, transport will enter an infinite loop of writing CONTINUATION frames if it receives a SETTINGS_MAX_FRAME_SIZE with a value of 0.

The "go tool pack" subcommand (usually used only by the compiler as an internal tool with known-good inputs) does not sanitize output filenames. Extracting a malicious archive file with the "pack" subcommand can write files to arbitrary locations on the filesystem.

The "go bug" command writes to two files with predictable names in the system temporary directory (for example, "/tmp"). An attacker with access to the temporary directory can create a symlink in one of these names, causing "go bug" to overwrite the target of the symlink.

Well-crafted inputs reaching ParseAddress, ParseAddressList, and ParseDate were able to trigger excessive CPU exhaustion and memory allocations.

CVE-2026-27142 fixed a vulnerability in which URLs were not correctly escaped inside of a tag's attribute. If the URL content were to insert ASCII whitespaces around the '=' rune inside of the attribute, the escaper would fail to similarly escape it, leading to XSS.

If a trusted template author were to write a