CVE-2026-39821

Invoking failure to reject ASCII-only Punycode-encoded labels in golang.org/x/net/idna

CVSS 9.6 CRITICALEPSS 0.3%CWE-1289

Em resumo

Uma falha no processamento de nomes de domínio do Go permite que atacantes contornem verificações de segurança usando uma codificação oculta (Punycode). Um atacante poderia ganhar acesso não autorizado usando uma versão codificada de um domínio que um sistema de segurança acreditava ter bloqueado.

Detalhe técnico

As funções ToASCII e ToUnicode do pacote idna falham em rejeitar labels codificados em Punycode que decodificam para strings apenas em ASCII, permitindo contorno de controles de acesso baseados em nomes de host. Um atacante pode fornecer um domínio em Punycode (por exemplo, 'xn--example-.com') que decodifica para um domínio ASCII legítimo, permitindo que a aplicação passe em validações que normalmente negariam a versão ASCII, levando a escalação de privilégio.

Resumo gerado e traduzido por IA a partir da descrição oficial.

The ToASCII and ToUnicode functions incorrectly accept Punycode-encoded labels that decode to an ASCII-only label. For example, ToUnicode("xn--example-.com") incorrectly returns the name "example.com" rather than an error. This behavior can lead to privilege escalation in programs using the idna package. For example, a program which performs privilege checks on the ASCII hostname may reject "example.com" but permit "xn--example-.com". If that program subsequently converts the ASCII hostname to Unicode, it will inadvertently permits access to the Unicode name "example.com".

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:N

Produtos afetados

golang.org/x/net · golang.org/x/net/idna

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://go.dev/cl/767220 https://go.dev/issue/78760 https://groups.google.com/g/golang-announce/c/iI-mYSI0lu8 https://pkg.go.dev/vuln/GO-2026-5026