CVE-2026-42503
Accidental binding to INADDR_ANY might lead to RCE in golang.org/x/tools/gopls
Em resumo
O gopls (servidor de linguagem Go) pode acidentalmente se vincular a todas as interfaces de rede (0.0.0.0) ao usar certas flags de depuração, permitindo que qualquer pessoa na rede execute código arbitrário na máquina afetada.
Detalhe técnico
Quando gopls é invocado com as flags -listen ou -port sem um hostname explícito (por exemplo, :8080), ele se vincula padrão a 0.0.0.0 em vez de localhost, criando um endpoint RPC não autenticado acessível à rede local. Um atacante na mesma rede pode enviar requisições maliciosas para esse endpoint exposto para conseguir execução remota de código com os privilégios do processo gopls.
Resumo gerado e traduzido por IA a partir da descrição oficial.
gopls by default communicates via pipe. However, -port and -listen flags are supported as means of debugging.
If -listen is given a value without an explicit host (e.g. :8080), or -port is used, gopls will listen on 0.0.0.0.
As a result, users might inadvertently cause gopls to bind 0.0.0.0.
This can allow a malicious party on the same network to execute code arbitrarily via gopls.
CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Produtos afetados
golang.org/x/tools · golang.org/x/tools/goplsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →