CVE-2026-42503
Accidental binding to INADDR_ANY might lead to RCE in golang.org/x/tools/gopls
En resumen
gopls (servidor de lenguaje Go) puede vincularse accidentalmente a todas las interfaces de red (0.0.0.0) al usar ciertas flags de depuración, permitiendo que cualquiera en la red ejecute código arbitrario en la máquina afectada.
Detalle técnico
Cuando gopls se invoca con las flags -listen o -port sin un hostname explícito (por ejemplo, :8080), se vincula por defecto a 0.0.0.0 en lugar de localhost, creando un endpoint RPC sin autenticación accesible a la red local. Un atacante en la misma red puede enviar solicitudes maliciosas a este endpoint expuesto para lograr ejecución remota de código con los privilegios del proceso gopls.
Resumen generado y traducido por IA a partir de la descripción oficial.
gopls by default communicates via pipe. However, -port and -listen flags are supported as means of debugging.
If -listen is given a value without an explicit host (e.g. :8080), or -port is used, gopls will listen on 0.0.0.0.
As a result, users might inadvertently cause gopls to bind 0.0.0.0.
This can allow a malicious party on the same network to execute code arbitrarily via gopls.
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Productos afectados
golang.org/x/tools · golang.org/x/tools/gopls¿Quieres saber si tu infraestructura está expuesta a esto?
Hablar con TrueHacking →