CVE-2026-39821

Invoking failure to reject ASCII-only Punycode-encoded labels in golang.org/x/net/idna

CVSS 9.6 CRITICALEPSS 0.3%CWE-1289

En resumen

Una falla en el procesamiento de nombres de dominio de Go permite que atacantes eludan controles de seguridad utilizando una codificación oculta (Punycode). Un atacante podría obtener acceso no autorizado usando una versión codificada de un dominio que un sistema de seguridad creía haber bloqueado.

Detalle técnico

Las funciones ToASCII y ToUnicode del paquete idna no rechazan correctamente etiquetas codificadas en Punycode que se decodifican a cadenas solo ASCII, permitiendo eludir controles de acceso basados en nombres de host. Un atacante puede proporcionar un dominio Punycode (por ejemplo, 'xn--example-.com') que se decodifica en un dominio ASCII legítimo, permitiendo que la aplicación pase validaciones que normalmente negarían la versión ASCII, lo que conduce a escalada de privilegios.

Resumen generado y traducido por IA a partir de la descripción oficial.

The ToASCII and ToUnicode functions incorrectly accept Punycode-encoded labels that decode to an ASCII-only label. For example, ToUnicode("xn--example-.com") incorrectly returns the name "example.com" rather than an error. This behavior can lead to privilege escalation in programs using the idna package. For example, a program which performs privilege checks on the ASCII hostname may reject "example.com" but permit "xn--example-.com". If that program subsequently converts the ASCII hostname to Unicode, it will inadvertently permits access to the Unicode name "example.com".

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N

Productos afectados

golang.org/x/net · golang.org/x/net/idna

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://go.dev/cl/767220 https://go.dev/issue/78760 https://groups.google.com/g/golang-announce/c/iI-mYSI0lu8 https://pkg.go.dev/vuln/GO-2026-5026