osrgのGoBGPにおけるリソースの不適切なシャットダウンおよびリリースに関する脆弱性
| Title |
osrgのGoBGPにおけるリソースの不適切なシャットダウンおよびリリースに関する脆弱性
|
| Summary |
osrg GoBGP 4.3.0 までに脆弱性が発見されました。この脆弱性は、コンポーネント SRv6 L3 Service のファイル pkg/packet/bgp/prefix_sid.go 内の関数 SRv6L3ServiceAttribute.DecodeFromBytes に影響します。この引数データの操作によりサービス拒否(DoS)が発生します。攻撃はリモートから実行される可能性があります。この問題はバージョン 4.4.0 にアップグレードすることで修正されます。パッチ名は f9f7b55ec258e514be0264871fa645a2c3edad11 です。影響を受けるコンポーネントをアップグレードすることを推奨します。
|
| Possible impacts |
当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアが完全に停止する可能性があります。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| Solution |
正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| Publication Date |
May 4, 2026, midnight |
| Registration Date |
May 8, 2026, 12:20 p.m. |
| Last Update |
May 8, 2026, 12:20 p.m. |
|
CVSS3.0 : 重要
|
| Score |
7.5
|
| Vector |
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
|
CVSS2.0 : 警告
|
| Score |
5
|
| Vector |
AV:N/AC:L/Au:N/C:N/I:N/A:P |
Affected System
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
その他
Change Log
| No |
Changed Details |
Date of change |
| 1 |
[2026年05月08日]
掲載 |
May 8, 2026, 12:20 p.m. |
NVD Vulnerability Information
CVE-2026-7734
| Summary |
A vulnerability has been found in osrg GoBGP up to 4.3.0. This impacts the function SRv6L3ServiceAttribute.DecodeFromBytes of the file pkg/packet/bgp/prefix_sid.go of the component SRv6 L3 Service. Such manipulation of the argument data leads to denial of service. The attack may be performed from remote. Upgrading to version 4.4.0 will fix this issue. The name of the patch is f9f7b55ec258e514be0264871fa645a2c3edad11. You should upgrade the affected component.
|
| Publication Date |
May 4, 2026, 3:16 p.m. |
| Registration Date |
May 5, 2026, 4:06 a.m. |
| Last Update |
May 7, 2026, 5:26 a.m. |
Affected software configurations
| Configuration1 |
or higher |
or less |
more than |
less than |
| cpe:2.3:a:osrg:gobgp:*:*:*:*:*:*:*:* |
|
|
|
4.4.0 |
Related information, measures and tools
Common Vulnerabilities List