ALT-PU-2026-7829-2 — prometheus-kafka

BDU:2025-02476

MEDIUM4.4

Уязвимость пакетов net/http, x/net/proxy и x/net/http/httpproxy языка программирования Go, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации

Опубликовано: 2025-07-01Изменено: 2026-04-19

CVSS 3.xСРЕДНЯЯ 4.4

CVSS:3.x/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVSS 2.0НИЗКАЯ 3.2

CVSS:2.0/AV:L/AC:L/Au:S/C:P/I:N/A:P

Ссылки

CVE-2025-22870

BDU:2025-06560

HIGH7.5

Уязвимость SSH-сервера языка программирования Golang, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-06-08Изменено: 2025-12-07

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

CVSS 2.0ВЫСОКАЯ 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:C

Ссылки

CVE-2025-22869

BDU:2025-08473

MEDIUM6.5

Уязвимость языка программирования Golang, связанная с неправильной проверкой входных данных, позволяющая нарушителю выполнить произвольный код

Опубликовано: 2025-07-14Изменено: 2026-04-19

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L

CVSS 2.0СРЕДНЯЯ 5.1

CVSS:2.0/AV:N/AC:H/Au:N/C:P/I:P/A:P

Ссылки

CVE-2025-22872

BDU:2025-14682

MEDIUM5.3

Уязвимость сервера агента ssh-agent библиотеки для языка программирования Go crypto, позволяющая нарушителю вызвать отказ в обслуживании

Опубликовано: 2025-11-25Изменено: 2026-04-14

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

Ссылки

CVE-2025-47914

BDU:2025-14688

MEDIUM5.3

Уязвимость SSH-сервера библиотеки для языка программирования Go crypto, позволяющая нарушителю оказать воздействие на доступность защищаемой информации

Опубликовано: 2025-11-25Изменено: 2026-04-14

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

CVSS 2.0СРЕДНЯЯ 5.0

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:N/A:P

Ссылки

CVE-2025-58181

CVE-2025-22869

HIGH7.5

SSH servers which implement file transfer protocols are vulnerable to a denial of service attack from clients which complete the key exchange slowly, or not at all, causing pending content to be read into memory, but never transmitted.

Опубликовано: 2025-02-26Изменено: 2025-05-01

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

CVE-2025-22870

MEDIUM4.4

Matching of hosts against proxy patterns can improperly treat an IPv6 zone ID as a hostname component. For example, when the NO_PROXY environment variable is set to "*.example.com", a request to "[::1%25.example.com]:80` will incorrectly match and not be proxied.

Опубликовано: 2025-03-12Изменено: 2026-04-16

CVSS 3.xСРЕДНЯЯ 4.4

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

Ссылки

CVE-2025-22872

MEDIUM6.5

The tokenizer incorrectly interprets tags with unquoted attribute values that end with a solidus character (/) as self-closing. When directly using Tokenizer, this can result in such tags incorrectly being marked as self-closing, and when using the Parse functions, this can result in content following such tags as being placed in the wrong scope during DOM construction, but only when tags are in foreign content (e.g. $,, etc contexts).$

Опубликовано: 2025-04-16Изменено: 2026-04-14

CVSS 3.xСРЕДНЯЯ 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:L/I:L/A:L

Ссылки

CVE-2025-47914

MEDIUM5.3

SSH Agent servers do not validate the size of messages when processing new identity requests, which may cause the program to panic if the message is malformed due to an out of bounds read.

Опубликовано: 2025-11-19Изменено: 2025-12-11

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Ссылки

CVE-2025-58181

MEDIUM5.3

SSH servers parsing GSSAPI authentication requests do not validate the number of mechanisms specified in the request, allowing an attacker to cause unbounded memory consumption.

Опубликовано: 2025-11-19Изменено: 2025-12-11

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Ссылки

GHSA-f6x5-jh6r-wrfv

MEDIUM5.3

golang.org/x/crypto/ssh/agent vulnerable to panic if message is malformed due to out of bounds read

Опубликовано: 2025-11-19Изменено: 2025-11-20

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Ссылки

GHSA-hcg3-q754-cr77

HIGH7.5

golang.org/x/crypto Vulnerable to Denial of Service (DoS) via Slow or Incomplete Key Exchange

Опубликовано: 2025-04-12Изменено: 2025-04-14

CVSS 3.xВЫСОКАЯ 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Ссылки

GHSA-j5w8-q4qc-rx2x

MEDIUM5.3

golang.org/x/crypto/ssh allows an attacker to cause unbounded memory consumption

Опубликовано: 2025-11-19

CVSS 3.xСРЕДНЯЯ 5.3

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Ссылки

GHSA-qxp5-gwg8-xv66

MEDIUM4.4

HTTP Proxy bypass using IPv6 Zone IDs in golang.org/x/net

Опубликовано: 2025-03-12Изменено: 2026-04-24

CVSS 3.xСРЕДНЯЯ 4.4

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

Ссылки

GHSA-vvgc-356p-c3xw

MEDIUM5.3

golang.org/x/net vulnerable to Cross-site Scripting

Опубликовано: 2025-04-16Изменено: 2025-05-17

CVSS 4.0СРЕДНЯЯ 5.3

CVSS:4.0/CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N

Ссылки

Обновление пакета prometheus-kafka_exporter в ветке p11

Закрытые проблемы (15)

Уязвимость SSH-сервера языка программирования Golang, связанная с неконтролируемым расходом ресурсов, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость языка программирования Golang, связанная с неправильной проверкой входных данных, позволяющая нарушителю выполнить произвольный код

Уязвимость сервера агента ssh-agent библиотеки для языка программирования Go crypto, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость SSH-сервера библиотеки для языка программирования Go crypto, позволяющая нарушителю оказать воздействие на доступность защищаемой информации

SSH servers which implement file transfer protocols are vulnerable to a denial of service attack from clients which complete the key exchange slowly, or not at all, causing pending content to be read into memory, but never transmitted.

Matching of hosts against proxy patterns can improperly treat an IPv6 zone ID as a hostname component. For example, when the NO_PROXY environment variable is set to "*.example.com", a request to "[::1%25.example.com]:80` will incorrectly match and not be proxied.

SSH Agent servers do not validate the size of messages when processing new identity requests, which may cause the program to panic if the message is malformed due to an out of bounds read.

SSH servers parsing GSSAPI authentication requests do not validate the number of mechanisms specified in the request, allowing an attacker to cause unbounded memory consumption.

golang.org/x/crypto/ssh/agent vulnerable to panic if message is malformed due to out of bounds read

golang.org/x/crypto Vulnerable to Denial of Service (DoS) via Slow or Incomplete Key Exchange

golang.org/x/crypto/ssh allows an attacker to cause unbounded memory consumption

HTTP Proxy bypass using IPv6 Zone IDs in golang.org/x/net

golang.org/x/net vulnerable to Cross-site Scripting