CVE-2026-23991 (CNNVD-202601-3903)
中文标题:
go-tuf 代码问题漏洞
英文标题:
go-tuf affected by client DoS via malformed server response
漏洞描述
中文描述:
go-tuf是The Update Framework开源的一个用于保护软件更新系统的框架。 go-tuf 2.0.0版本至2.3.1之前版本存在代码问题漏洞,该漏洞源于解析无效TUF元数据JSON时发生内核崩溃,可能导致拒绝服务。
英文描述:
go-tuf is a Go implementation of The Update Framework (TUF). Starting in version 2.0.0 and prior to version 2.3.1, if the TUF repository (or any of its mirrors) returns invalid TUF metadata JSON (valid JSON but not well formed TUF metadata), the client will panic during parsing, causing a denial of service. The panic happens before any signature is validated. This means that a compromised repository/mirror/cache can DoS clients without having access to any signing key. Version 2.3.1 fixes the issue. No known workarounds are available.
CWE类型:
标签:
受影响产品
| 厂商 | 产品 | 版本 | 版本范围 | 平台 | CPE |
|---|---|---|---|---|---|
| theupdateframework | go-tuf | >= 2.0.0, < 2.3.1 | - | - |
cpe:2.3:a:theupdateframework:go-tuf:>=_2.0.0,_<_2.3.1:*:*:*:*:*:*:*
|
解决方案
中文解决方案:
英文解决方案:
临时解决方案:
参考链接
cve.org
cve.org
cve.org
CVSS评分详情
3.1 (cna)
MEDIUMCVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
时间信息
利用信息
数据源详情
| 数据源 | 记录ID | 版本 | 提取时间 |
|---|---|---|---|
| CVE | cve_CVE-2026-23991 |
2026-01-22 03:19:50 | 2026-01-21 22:00:11 |
| NVD | nvd_CVE-2026-23991 |
2026-01-23 02:00:04 | 2026-01-22 22:00:17 |
| CNNVD | cnnvd_CNNVD-202601-3903 |
2026-01-26 02:10:03 | 2026-01-25 18:11:59 |
版本与语言
安全公告
变更历史
查看详细变更
- vulnerability_type: 未提取 -> 代码问题
- cnnvd_id: 未提取 -> CNNVD-202601-3903
- data_sources: ['cve', 'nvd'] -> ['cnnvd', 'cve', 'nvd']
查看详细变更
- data_sources: ['cve'] -> ['cve', 'nvd']