Grafana-pcp
Уязвимости
10
Эксплуатируемые
0
Макс. CVSS
7.5
Макс. EPSS
0.02513
Распределение по критичности
Критический
0
Высокий
6
Средний
4
Низкий
0
Также сопоставлено как (исходные строки): grafana-pcp
Топ уязвимостей
CVE-2024-34156Вызов Decoder.Decode для сообщения, содержащего глубоко вложенные структуры, может вызвать панику из-за исчерпания стека. Это является продолжением CVE-2022-30635.
CVE-2024-1394Во фрагменте кода Golang, отвечающем за шифрование/дешифрование RSA, была обнаружена уязвимость, связанная с утечкой памяти, которая может привести к исчерпанию ресурсов при использовании входных данных, контролируемых злоумышленником. Утечка памяти происходит в github.com/golang-fips/openssl/openssl/rsa.go#L113. Утекшими объектами являются pkey и ctx. В этой функции используются именованные возвращаемые параметры для освобождения pkey и ctx в случае ошибки при инициализации контекста или установке различных свойств. Все операторы возврата, связанные со случаями ошибок, следуют шаблону "return nil, nil, fail(...)", что означает, что pkey и ctx будут nil внутри отложенной функции, которая должна их освободить.
CVE-2022-30635Неконтролируемая рекурсия в Decoder.Decode в encoding/gob до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через сообщение, которое содержит глубоко вложенные структуры.
CVE-2022-30632Неконтролируемая рекурсия в Glob в path/filepath до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через путь, содержащий большое количество разделителей путей.
CVE-2022-30631Неконтролируемая рекурсия в Reader.Read в compress/gzip до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через архив, содержащий большое количество объединенных сжатых файлов нулевой длины.
CVE-2022-30630Неконтролируемая рекурсия в Glob в io/fs до Go 1.17.12 и Go 1.18.4 позволяет злоумышленнику вызвать панику из-за исчерпания стека через путь, который содержит большое количество разделителей путей.
CVE-2024-9355Уязвимость была найдена в Golang FIPS OpenSSL. Эта ошибка позволяет злоумышленнику случайно вернуть неинициализированную переменную длины буфера с обнуленным буфером в режиме FIPS. Также может быть возможность вызвать ложное совпадение между несовпадающими хэшами при сравнении доверенной вычисленной контрольной суммы hmac с недоверенной входной суммой, если злоумышленник может отправить обнуленный буфер вместо предварительно вычисленной суммы. Также возможно заставить производный ключ быть равным нулям вместо непредсказуемого значения. Это может иметь последствия для стека Go TLS.
CVE-2022-32148Неправильное раскрытие IP-адресов клиентов в net/http до Go 1.17.12 и Go 1.18.4 может быть вызвано вызовом httputil.ReverseProxy.ServeHTTP с картой Request.Header, содержащей нулевое значение для заголовка X-Forwarded-For, что приводит к тому, что ReverseProxy устанавливает IP-адрес клиента в качестве значения заголовка X-Forwarded-For.
CVE-2022-27664В net/http в Go до 1.18.6 и 1.19.x до 1.19.1 злоумышленники могут вызвать отказ в обслуживании, потому что HTTP/2 соединение может зависнуть во время закрытия, если завершение работы было прервано фатальной ошибкой.
CVE-2022-1705Принятие некоторых недопустимых заголовков Transfer-Encoding в HTTP/1 клиенте в net/http до Go 1.17.12 и Go 1.18.4 позволяет осуществлять контрабанду HTTP-запросов, если это сочетается с промежуточным сервером, который также неправильно не отклоняет заголовок как недопустимый.