CVE-2026-32952
go-ntlmssp NTLM challenges can panic on malformed payloads
En resumen
El paquete go-ntlmssp puede bloquearse cuando recibe un mensaje NTLM malformado. Un atacante puede explotar esto para deshabilitar servicios que usan esta biblioteca para autenticación.
Detalle técnico
Un mensaje de desafío NTLM malformado provoca un acceso fuera de límites en una slice en ntlmssp.Negotiator, causando un pánico que derriba el proceso Go. El ataque requiere acceso de red para enviar un desafío malicioso durante el intercambio de autenticación NTLM; no se requiere autenticación previa. El impacto es denegación de servicio afectando cualquier aplicación que use esta biblioteca para autenticación HTTP.
Resumen generado y traducido por IA a partir de la descripción oficial.
go-ntlmssp is a Go package that provides NTLM/Negotiate authentication over HTTP. Prior to version 0.1.1, a malicious NTLM challenge message can causes an slice out of bounds panic, which can crash any Go process using `ntlmssp.Negotiator` as an HTTP transport. Version 0.1.1 patches the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Productos afectados
Azure · go-ntlmssp¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →