CVE-2026-39904
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 16 — wyżej niż 16% wszystkich znanych CVE
Streszczenie
Gophish w wersji do 0.12.1 zawiera podatność typu denial of service, która pozwala uwierzytelnionym użytkownikom z rolą Użytkownika na wyczerpanie pamięci serwera poprzez przesyłanie spreparowanego dokumentu Office jako załącznika szablonu e-mail. Funkcja ApplyTemplate() przetwarza dokumenty Office jako archiwa ZIP, co umożliwia wykorzystanie ładunku zip bomb.
Ocena ryzyka
Podatność ta może prowadzić do awarii serwera, co skutkuje przerwami w dostępności usług. Umożliwia to atakującym z rolą Użytkownika zakłócenie działania systemu poprzez wykorzystanie zasobów pamięci.
Rekomendacja
Zaleca się aktualizację Gophish do najnowszej wersji, aby usunąć tę podatność. Dodatkowo, warto wprowadzić ograniczenia dotyczące rozmiaru załączników oraz monitorować aktywność użytkowników z rolą Użytkownika.
Oryginalny opis (angielski, źródło NVD)
Gophish through 0.12.1 contains a denial of service vulnerability that allows authenticated users with the User role to exhaust server memory by uploading a crafted Office document as an email template attachment. The ApplyTemplate() function in models/attachment.go processes Office documents as ZIP archives and calls ioutil.ReadAll() on each contained file entry without enforcing size restrictions on uncompressed content, allowing a zip bomb payload to expand to several gigabytes in memory and cause the process to be terminated by the operating system.

