CVE-2026-27145
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Podwyższone ryzykoPercentyl 57 - wyżej niż 57% wszystkich znanych CVE
Streszczenie
Podatność w bibliotece Go x509 powoduje kwadratowy wzrost kosztów weryfikacji nazwy hosta przy użyciu certyfikatów z dużą liczbą wpisów DNS SAN. Funkcja VerifyHostname wielokrotnie wywołuje strings.Split na tym samym hoście, co prowadzi do przeciążenia.
Ocena ryzyka
Atakujący może dostarczyć złośliwy certyfikat z wieloma wpisami SAN, powodując znaczne spowolnienie lub odmowę usługi (DoS) podczas weryfikacji, nawet przed zbudowaniem łańcucha certyfikatów.
Rekomendacja
Zaktualizuj bibliotekę Go do wersji zawierającej poprawkę optymalizującą weryfikację nazw hostów. Jeśli aktualizacja nie jest możliwa, ogranicz akceptację certyfikatów z dużą liczbą wpisów SAN.
Oryginalny opis (angielski, źródło NVD)
(*x509.Certificate).VerifyHostname previously called matchHostnames in a loop over all DNS Subject Alternative Name (SAN) entries. This caused strings.Split(host, ".") to execute repeatedly on the same input hostname. With a large DNS SAN list, verification costs scaled quadratically based on the number of SAN entries multiplied by the hostname's label count. Because x509.Verify validates hostnames before building the certificate chain, this overhead occurred even for untrusted certificates.

