CVE-2026-32952
go-ntlmssp NTLM challenges can panic on malformed payloads
Em resumo
O pacote go-ntlmssp pode travar quando recebe uma mensagem NTLM malformada. Um atacante pode explorar isso para desabilitar serviços que usam esta biblioteca para autenticação.
Detalhe técnico
Uma mensagem de desafio NTLM malformada causa um acesso fora dos limites em uma slice no ntlmssp.Negotiator, provocando um pânico que derruba o processo Go. O ataque requer acesso à rede para enviar um desafio malicioso durante o handshake de autenticação NTLM; nenhuma autenticação prévia é necessária. O impacto é negação de serviço afetando qualquer aplicação que use esta biblioteca para autenticação HTTP.
Resumo gerado e traduzido por IA a partir da descrição oficial.
go-ntlmssp is a Go package that provides NTLM/Negotiate authentication over HTTP. Prior to version 0.1.1, a malicious NTLM challenge message can causes an slice out of bounds panic, which can crash any Go process using `ntlmssp.Negotiator` as an HTTP transport. Version 0.1.1 patches the issue.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Produtos afetados
Azure · go-ntlmsspQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →