CVE-2021-23351 in go-proxyproto
الملخص
بحسب VulDB • 25/05/2026
تحتوي الحزمة github.com/pires/go-proxyproto قبل الإصدار 0.5.0 على ثغرة تؤدي إلى حجب الخدمة (DoS) عبر دالة parseVersion1(). يُعد القارئ في هذه الحزمة قارئ bufio.Reader افتراضياً يقوم بتغليف اتصال net.Conn. سيقوم بقراءة البيانات من الاتصال حتى يجد سطرًا جديدًا (newline). ونظراً لعدم وجود حدود مفروضة في الكود، يمكن استخدام رأس V1 مشوه عمداً لاستنفاد الذاكرة في عملية الخادم التي تستخدم هذا الكود، مما يؤدي إلى حجب الخدمة. يمكن استغلال هذا الثغرة عن طريق إرسال تدفق بيانات يبدأ بكلمة PROXY ويستمر في إرسال بيانات (لا تحتوي على سطر جديد) حتى يتوقف الهدف عن تأكيد الاستلام. وتُعد المخاطر هنا ضئيلة، لأنه ينبغي السماح فقط للمصادر الموثوقة بإرسال رؤوس بروتوكول الوكيل (proxy protocol headers).
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.