CVE-2021-23351 in go-proxyproto
Riassunto
di VulDB • 20/06/2026
Il pacchetto github.com/pires/go-proxyproto precedente alla versione 0.5.0 è vulnerabile a un attacco di Denial of Service (DoS) tramite la funzione parseVersion1(). Il reader in questo pacchetto è un bufio.Reader predefinito che avvolge un net.Conn. Esso legge dalla connessione fino a quando non trova un carattere di nuova riga. Poiché non sono implementati limiti nel codice, un'intestazione V1 deliberatamente malformata potrebbe essere utilizzata per esaurire la memoria di un processo server che utilizza questo codice, causando un DoS. Questo può essere sfruttato inviando un flusso che inizia con PROXY e continuando a inviare dati (che non contengono un carattere di nuova riga) fino a quando il target smette di inviare conferme. Il rischio qui è basso, poiché solo fonti attendibili dovrebbero essere autorizzate a inviare intestazioni del protocollo proxy.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.