漏洞标题
由于稀疏切片反序列化导致的潜在内存耗尽攻击
漏洞描述信息
gorilla/schema用于在结构体和表单值之间转换。在版本1.4.1之前,对包含类型为`[]struct{...}`字段的结构体执行`schema.Decoder.Decode()`操作会使其受到内存分配方面的恶意攻击,利用了稀疏切片功能。对于包含其他结构体的数组的任何结构体使用`schema.Decoder.Decode()`都可能受到这种内存耗尽漏洞的影响。版本1.4.1包含了针对此问题的补丁。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
未加控制的资源消耗(资源穷尽)
漏洞标题
Potential memory exhaustion attack due to sparse slice deserialization
漏洞描述信息
gorilla/schema converts structs to and from form values. Prior to version 1.4.1 Running `schema.Decoder.Decode()` on a struct that has a field of type `[]struct{...}` opens it up to malicious attacks regarding memory allocations, taking advantage of the sparse slice functionality. Any use of `schema.Decoder.Decode()` on a struct with arrays of other structs could be vulnerable to this memory exhaustion vulnerability. Version 1.4.1 contains a patch for the issue.
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
漏洞类别
不加限制或调节的资源分配
漏洞标题
schema 安全漏洞
漏洞描述信息
schema是gorilla开源的一个库。将结构转换为表单值和从表单值转换结构。 schema 1.4.1之前版本存在安全漏洞,该漏洞源于容易受到内存耗尽漏洞的影响。
CVSS信息
N/A
漏洞类别
其他