Gobgp
Уязвимости
22
Эксплуатируемые
0
Макс. CVSS
9.8
Макс. EPSS
0.00744
Распределение по критичности
Критический
1
Высокий
10
Средний
11
Низкий
0
Затронутые диапазоны версий
< 3.20.0< 3.35.0< 4.3.0< 4.4.0
Также сопоставлено как (исходные строки): gobgp
Топ уязвимостей
CVE-2025-43973В GoBGP до версии 3.35.0 обнаружена уязвимость, связанная с некорректной проверкой длины входных данных в функции ParseRTR. Это может привести к сбою в работе приложения.
Рекомендуется обновить GoBGP до версии 3.35.0 или более поздней для устранения уязвимости.
Источники:
- [1] https://github.com/osrg/gobgp/compare/v3.34.0...v3.35.0
- [2] https://github.com/osrg/gobgp/commit/5693c58a4815cc6327b8d3b6980f0e5aced28abe
BDU:2025-09852Уязвимость компонента pkg/packet/bgp/bgp.go реализации протокола BGP (Border Gateway Protocol) GoBGP связана с ошибкой вычисления индекса значения softwareVersionLen. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
BDU:2025-09850Уязвимость компонента pkg/packet/rtr/rtr.go реализации протокола BGP (Border Gateway Protocol) GoBGP связана с ошибкой вычисления индекса значения softwareVersionLen. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнить произвольный код
CVE-2026-42285GoBGP - это реализация протокола Border Gateway с открытым исходным кодом (BGP) на языке программирования Go. В версии 4.4.0 неаутентифицированный удаленный одноранговый BGP может вызвать смертельную панику в GoBGP, отправив специально созданное сообщение BGP UPDATE. Когда сервер получает сообщение с несогласованной длиной атрибута, он неправильно обрабатывает переход внутреннего состояния на действие «изъятие», что приводит к снижению нулевого указателя в функции AdjRib.Update. Это приводит к сбою всего процесса GoBGP, что приводит к полной потере доступности услуг. Эта проблема была исправлена в версии 4.5.0.
CVE-2026-41643GoBGP - это реализация протокола Border Gateway с открытым исходным кодом (BGP) на языке программирования Go. До версии 4.3.0 в GoBGP существует удаленная уязвимость отказа в обслуживании (DoS), где исправленное сообщение BGP UPDATE может вызвать ошибку времени выполнения: паника индекса вне дальности. Это происходит во время обработки 4-байтовых атрибутов AS, когда структура сообщения вызывает внутренний сдвиг индекса среза, который не обрабатывается должным образом. Эта проблема была исправлена в версии 4.3.0.
CVE-2026-41642GoBGP - это реализация протокола Border Gateway с открытым исходным кодом (BGP) на языке программирования Go. В версии 4.3.0 в GoBGP существует удаленная уязвимость отказа в обслуживании (DoS) из-за отсутствия нулевая точка. Когда неправильное сообщение BGP UPDATE содержит нераспознаненный атрибут пути, помеченный как «Хорошо известный», демон не прерывает поток обработки сообщений. Это приводит к незаконному доступу к памяти и полному сбою процесса (паника). Этот вопрос был исправлен в версии 4.4.0.
CVE-2026-37461Вышечное чтение в функции ParseIP6Extended (/bgp/bgp.go) gobgp v4.3.0 позволяет злоумышленникам вызвать отказ в обслуживании (DoS) путем предоставления созданного сообщения BGP UPDATE.
CVE-2026-30405Проблема в GoBGP gobgpd v.4.2.0 позволяет удаленному злоумышленнику вызвать отказ в обслуживании через атрибут пути NEXT_HOP
CVE-2025-43972В GoBGP до версии 3.35.0 обнаружена проблема. Злоумышленник может вызвать сбой в парсере flowspec пакета pkg/packet/bgp/bgp.go, отправив менее 20 байт в определенном контексте.
Источники:
- [1] https://github.com/osrg/gobgp/compare/v3.34.0...v3.35.0
- [2] https://github.com/osrg/gobgp/commit/ca7383f450f7b296c5389feceef2467de5ab6e5a
CVE-2025-43971В GoBGP до версии 3.35.0 обнаружена проблема. Функция pkg/packet/bgp/bgp.go позволяет злоумышленникам вызвать панику через нулевое значение для softwareVersionLen. Проблема решена в коммите 08a001e [1], где добавлена проверка длины входных данных.
Источники:
- [1] https://github.com/osrg/gobgp/commit/08a001e06d90e8bcc190084c66992f46f62c0986
- [2] https://github.com/osrg/gobgp/compare/v3.34.0...v3.35.0
BDU:2025-09876Уязвимость функции handlingError() протокола пограничного шлюза GoBGP связана с копированием буфера без проверки размера входных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
CVE-2026-7737Уязвимость была выявлена в osg GoBGP до 4.3,0. Эта проблема затрагивает функция BMPPeerUpNotification.ParseBody/BMPStatisticsReport.ParseBody файла pkg/packet/bmp/bmp.go компонента BMP Parser. Манипуляция приводит к чтению вне-граничного. Атака может быть инициирована дистанционно. Обновление до версии 4.4.0 может решить эту проблему. Идентификатор пластыря - bc77597d42335c78464bc8e15a471d887bbdf260. Рекомендуется модернизировать пораженный компонент.
CVE-2026-7736Уязвимость была определена в osg GoBGP до 4.3.0. На эту уязвимость влияет функция parseRibEntry файла pkg/packet/mrt/mrt.go. Выполнение манипуляции может привести к единичному подтекуменному. Можно запустить атаку удаленно. Обновление до версии 4.4.0 решает эту проблему. Этот патч называется 76d9110463344a3923cbe573364197aa081944592. Рекомендуется модернизировать пораженный компонент.
CVE-2026-7735Уязвимость была обнаружена в osg GoBGP до 4.3.0. Затронута функция PathAttributeAigp.DecodeFromBytes файла pkg/packet/bgp/bgp.go компонента AIGP Attribute Parser. Выполнение манипуляций приводит к переполнению буфера. Можно инициировать атаку удаленно. Обновление до версии 4.4.0 способно решить эту проблему. Пластырь называется 51ad1ada06cb41ce47b706799981816f50b7ced. Пострадавший компонент должен быть модернизирован.
CVE-2026-7734Уязвимость была обнаружена в osrg GoBGP до 4.3.0. Это влияет на функцию SRv6L3ServiceAttribute.DecodeFromBytes файла pkg/packet/bgp/prefix_sid.go компонента SRv6 L3 Service. Такое манипулирование аргументами приводит к отказу в обслуживании. Атака может быть выполнена с удаленности. Обновление до версии 4.4.0 решит эту проблему. Название патча: f9f7b55ec258e514be0264871fa645a2c3edad11. Вы должны модернизировать пораженный компонент.
BDU:2025-09851Уязвимость компонента pkg/packet/bgp/bgp.go реализации протокола BGP (Border Gateway Protocol) GoBGP связана с некорректным вводом конфигурационных данных. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, вызвать отказ в обслуживании
CVE-2026-5124Уязвимость безопасности была обнаружена в osg GoBGP до 4.3,0. Затронута функция BGPHeader.DecodeFromBytes файла pkg/packet/bgp/bgp.go компонента BGP Header Handler. Манипуляции приводят к неправильному контролю доступа. Удаленное использование атаки возможно. Считается, что атака имеет высокую сложность. Эксплуататорские возможности считаются трудными. Идентификатор патча: f0f24a2a901cbf159260698211ab15c583ced131. Чтобы исправить эту проблему, рекомендуется развернуть патч.
CVE-2026-5123Слабость была выявлена в osg GoBGP до 4.3,0. Это влияет на функцию DecodeFromBytes файла pkg/packet/bgp/bgp.go. Выполнение манипуляций с аргументами данных [1] может привести к отрыву. Атака может быть запущена дистанционно. Нападения такого рода очень сложны. Говорят, что эксплуататорские функции являются трудными. Этот патч называется 67c059413440df64bc20801c46f64058e88f800f. Для устранения этого вопроса следует применить патч.
CVE-2026-5122Недостаток безопасности был обнаружен в osg GoBGP до 4.3,0. Это влияет на функцию DecodeFromBytes файла pkg/packet/bgp/bgp.go компонента BGP OPEN Обработчик сообщений. Выполнение манипуляций с аргументом domainNameLen приводит к неправильному контролю доступа. Атака может быть инициирована дистанционно. Для атаки необходима высокая степень сложности. Сообщается, что эксплуататорские функции являются трудными. Патч называется 2b09db390a3d455808363c53e409afe6b1b86d2d. Рекомендуется установить патч для решения этой проблемы.
CVE-2025-43970В GoBGP версии ранее 3.35.0 обнаружена проблема. Функция pkg/packet/mrt/mrt.go не проверяет должным образом длину входных данных, например, не гарантирует наличие 12 или 36 байт (в зависимости от семейства адресов). Для исправления необходимо обновиться до версии 3.35.0 [1].
Источники:
- [1] https://github.com/osrg/gobgp/compare/v3.34.0...v3.35.0
- [2] https://github.com/osrg/gobgp/commit/5153bafbe8dbe1a2f02a70bbf0365e98b80e47b0
CVE-2023-46565Уязвимость переполнения буфера в osrg gobgp commit 419c50dfac578daa4d11256904d0dc182f1a9b22 позволяет удаленному злоумышленнику вызвать отказ в обслуживании через функцию handlingError в pkg/server/fsm.go.
BDU:2025-09853Уязвимость компонента pkg/packet/mrt/mrt.go реализации протокола BGP (Border Gateway Protocol) GoBGP связана с некорректным вводом конфигурационных данных. Эксплуатация уязвимости может позволить нарушителю выполнить произвольный код