CVE-2024-37298 in schema
요약
\~에 의해 VulDB • 2026. 05. 10.
gorilla/schema는 구조체를 폼 값과 상호 변환합니다. 버전 1.4.1 이전에서는 `[]struct{...}` 타입의 필드를 가진 구조체에 대해 `schema.Decoder.Decode()`를 실행하면 희소 슬라이스(sparse slice) 기능을 악용하여 메모리 할당 관련 공격에 취약해질 수 있습니다. 다른 구조체의 배열을 가진 구조체에 `schema.Decoder.Decode()`를 사용하는 경우, 이 메모리 고갈(memory exhaustion) 취약점에 노출될 수 있습니다. 버전 1.4.1에는 해당 문제를 해결하기 위한 패치가 포함되어 있습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.