区分
JVN番号
タイトル
JVN
深刻度
深刻度
最終更新日
CVE番号
New
JVNDB-2026-017600
The Go ProjectのNetにおける安全でない等式による入力の不適切な検証に関する脆弱性
9.6
2026/06/03 17:05
CVE-2026-39821
JVNDB-2026-017600
The Go ProjectのNetにおける安全でない等式による入力の不適切な検証に関する脆弱性
- 概要
- ToASCII関数とToUnicode関数は、ASCIIのみのラベルにデコードされるPunycodeエンコードされたラベルを誤って受け入れます。たとえば、ToUnicode("xn--example-.com")は誤って名前"example.com"を返し、エラーを返しません。この動作は、idnaパッケージを使用するプログラムで特権昇格を引き起こす可能性があります。たとえば、プログラムがASCIIホスト名に基づいて特権をチェックし、「example.com」を拒否しつつ「xn--example-.com」を許可する場合、その後ASCIIホスト名をUnicodeに変換すると、意図せずUnicode名の"example.com"へのアクセスを許可してしまいます。
- 想定される影響と対策
- ・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。 ・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。 ・当該ソフトウェアは停止しません。
ベンダ情報を参照して適切な対策を実施してください。 - JVN情報 ※( )内はCVSS v2の値
-
深刻度 9.6CVECVE-2026-39821公表日2026/05/22 00:00登録日2026/06/03 17:05更新日2026/06/03 17:05
- CVSS v3情報
-
…
- 全ての情報を閲覧するにはユーザー登録(無料)またはログインが必要です。
