正文

在 (* 插入模式堆栈) 中索引超出范围。在 html.Parse () 调用期间,在 node.go 中弹出会导致运行时恐慌

admin
admin V管理员 /0 评论 /11 阅读
0423
此篇文章发布距今已超过1147天,您需要注意文章的内容或图片是否可用!

CVE编号

CVE-2018-17848

利用情况

暂无

补丁情况

官方补丁

披露时间

2018-10-01
漏洞描述
The html package (aka x/net/html) through 2018-09-25 in Go mishandles <math><template><mn><b></template>, leading to a 'panic: runtime error' (index out of range) in (*insertionModeStack).pop in node.go, called from inHeadIM, during an html.Parse call.
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
参考链接
https://github.com/golang/go/issues/27846
https://lists.fedoraproject.org/archives/list/[email protected]...
https://lists.fedoraproject.org/archives/list/[email protected]...
受影响软件情况
# 类型 厂商 产品 版本 影响面
1
运行在以下环境
应用 golang net * Up to
(including)
2018-09-25
运行在以下环境
系统 fedora_28 golang-golang-org-net-devel * Up to
(excluding)
0-0.48.20190302git16b79f2.fc28
运行在以下环境
系统 fedora_28 golang-googlecode-net * Up to
(excluding)
0-0.48.20190302git16b79f2.fc28
运行在以下环境
系统 fedora_29 golang-golang-org-net-devel * Up to
(excluding)
0-0.49.20190302git16b79f2.fc29
运行在以下环境
系统 fedora_29 golang-googlecode-net * Up to
(excluding)
0-0.49.20190302git16b79f2.fc29
阿里云评分 3.1
  • 攻击路径 远程
  • 攻击复杂度 复杂
  • 权限要求 无需权限
  • 影响范围 有限影响
  • EXP成熟度 未验证
  • 补丁情况 官方补丁
  • 数据保密性 无影响
  • 数据完整性 无影响
  • 服务器危害 无影响
  • 全网数量 100
CWE-ID 漏洞类型 CWE-129 对数组索引的验证不恰当