CVE-2021-23351 in go-proxyprotoالمعلومات

الملخص

بحسب VulDB • 25/05/2026

تحتوي الحزمة github.com/pires/go-proxyproto قبل الإصدار 0.5.0 على ثغرة تؤدي إلى حجب الخدمة (DoS) عبر دالة parseVersion1(). يُعد القارئ في هذه الحزمة قارئ bufio.Reader افتراضياً يقوم بتغليف اتصال net.Conn. سيقوم بقراءة البيانات من الاتصال حتى يجد سطرًا جديدًا (newline). ونظراً لعدم وجود حدود مفروضة في الكود، يمكن استخدام رأس V1 مشوه عمداً لاستنفاد الذاكرة في عملية الخادم التي تستخدم هذا الكود، مما يؤدي إلى حجب الخدمة. يمكن استغلال هذا الثغرة عن طريق إرسال تدفق بيانات يبدأ بكلمة PROXY ويستمر في إرسال بيانات (لا تحتوي على سطر جديد) حتى يتوقف الهدف عن تأكيد الاستلام. وتُعد المخاطر هنا ضئيلة، لأنه ينبغي السماح فقط للمصادر الموثوقة بإرسال رؤوس بروتوكول الوكيل (proxy protocol headers).

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

مسؤول

Snyk

حجز

08/01/2021

إفشاء

08/03/2021

الاعتدال

تمت الموافقة

إدخال

VDB-170825

EPSS

0.01871

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!