| タイトル | The Go ProjectのGoにおける不特定の脆弱性 |
|---|---|
| 概要 | ReverseProxyは、Rewrite関数に表示されないパラメータを含むクエリを転送することができます。Rewrite関数やクエリパラメータを解析するDirector関数と組み合わせて使用される場合、ReverseProxyは転送されるリクエストを消毒し、url.ParseQueryで解析されないクエリパラメータを削除します。しかし、ReverseProxyはParseQueryのクエリパラメータ総数の制限(GODEBUG=urlmaxqueryparams=Nによって制御)を考慮していません。その結果、Rewrite関数に見えないクエリパラメータを含むリクエストをReverseProxyが転送できる可能性があります。例えば、クエリ"a1=x&a2=x&...&a10000=x&hidden=y"は、パラメータ"hidden=y"をプロキシのRewrite関数から隠したまま転送できます。 |
| 想定される影響 | 当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。 また、当該ソフトウェアが扱う情報について、書き換えは発生しません。 さらに、当該ソフトウェアは停止しません。 そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。 |
| 対策 | 正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。 |
| 公表日 | 2026年5月7日0:00 |
| 登録日 | 2026年5月15日11:01 |
| 最終更新日 | 2026年5月15日11:01 |
| CVSS3.0 : 警告 | |
| スコア | 5.3 |
|---|---|
| ベクター | CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N |
| The Go Project |
| Go 1.25.10 未満 |
| Go 1.26.0 以上 1.26.3 未満 |
| No | 変更内容 | 変更日 |
|---|---|---|
| 1 | [2026年05月15日] 掲載 |
2026年5月15日11:01 |
| 概要 | ReverseProxy can forward queries containing parameters not visible to Rewrite functions. When used with a Rewrite function, or a Director function which parses query parameters, ReverseProxy sanitizes the forwarded request to remove query parameters which are not parsed by url.ParseQuery. ReverseProxy does not take ParseQuery's limit on the total number of query parameters (controlled by GODEBUG=urlmaxqueryparams=N) into account. This can permit ReverseProxy to forward a request containing a query parameter that is not visible to the Rewrite function. For example, the query "a1=x&a2=x&...&a10000=x&hidden=y" can forward the parameter "hidden=y" while hiding it from the proxy's Rewrite function. |
|---|---|
| 公表日 | 2026年5月8日5:16 |
| 登録日 | 2026年5月9日4:10 |
| 最終更新日 | 2026年5月14日1:58 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* | 1.25.10 | ||||
| cpe:2.3:a:golang:go:*:*:*:*:*:*:*:* | 1.26.0 | 1.26.3 | |||