CVE Rejeté
Ce CVE a été officiellement rejeté et n'est plus considéré comme une vulnérabilité valide. Il peut s'agir d'un doublon, d'une vulnérabilité inexploitable ou d'un signalement retiré.
Plateforme
go
Composant
go.etcd.io/bbolt
Corrigé dans
1.10.0
2.5.4
1.4.4
CVE-2026-33817 describes an index out-of-range error within the go.etcd.io/bbolt library. This condition arises when the library encounters a branch page containing zero elements, potentially resulting in a denial-of-service (DoS) scenario. The vulnerability affects versions of go.etcd.io/bbolt up to and including 1.4.3, with a fix available in version 2.5.4.
La vulnérabilité CVE-2026-33817, initialement identifiée dans la bibliothèque go.etcd.io/bbolt, décrivait un possible dépassement de tampon lors de l'accès à un index lors du traitement d'une page de branche contenant zéro élément. Cependant, l'Autorité de Numérotation des Vulnérabilités Communes (CVE) a déterminé que ce problème était un faux positif et que l'avis a été retiré. Bien que l'avis initial suggère un risque potentiel, des investigations ultérieures ont révélé que la condition déclenchant l'erreur n'était pas exploitable en pratique. Il n'y a donc aucun risque de sécurité réel associé à cette identification de vulnérabilité. Il est recommandé de continuer à utiliser la bibliothèque bbolt, mais de rester vigilant quant aux futures mises à jour et avis de sécurité.
L'avis initial décrivait un scénario dans lequel une page de branche dans la base de données bbolt, contenant zéro élément, pourrait entraîner un dépassement de tampon lors de l'accès à un index. Cependant, des investigations ultérieures ont démontré que la logique de la bibliothèque bbolt gérait correctement cette situation, empêchant l'erreur. La condition qui était considérée comme exploitable ne s'est pas matérialisée en pratique, ce qui a conduit à la conclusion que la vulnérabilité était un faux positif. Aucune tentative d'exploitation de cette vulnérabilité présumée n'a été identifiée, et aucune n'est attendue à l'avenir.
Applications and systems utilizing go.etcd.io/bbolt versions 1.4.3 and earlier are potentially at risk. This includes Go applications using bbolt for embedded database functionality, particularly those handling untrusted data or operating in environments where malicious actors could attempt to manipulate database content.
disclosure
Statut de l'Exploit
EPSS
0.01% (percentile 2%)
Vecteur CVSS
Étant donné que la CVE-2026-33817 a été retirée en tant que faux positif, aucune mesure d'atténuation spécifique n'est requise. La mise à niveau vers la version 2.5.4, mentionnée dans l'avis initial, n'est plus nécessaire pour corriger cette vulnérabilité présumée. Cependant, il est conseillé de maintenir toutes les bibliothèques et dépendances à jour vers les dernières versions stables afin d'assurer la sécurité générale du système. Surveiller les annonces de sécurité de go.etcd.io/bbolt et de la communauté de sécurité est essentiel pour identifier et traiter toute vulnérabilité réelle qui pourrait survenir à l'avenir. La transparence dans la gestion des vulnérabilités, comme le retrait de cette CVE, est un indicateur positif de la maturité du projet.
Actualice a la versión 2.5.4 o superior para evitar el error de índice fuera de rango. Esta actualización corrige un problema que podía ocurrir al procesar páginas de rama con cero elementos, lo que podría llevar a un comportamiento inesperado o fallos en la aplicación.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
L'Autorité de Numérotation des Vulnérabilités Communes (CVE) a déterminé que la vulnérabilité était un faux positif après des investigations plus approfondies.
Non, la mise à niveau n'est plus nécessaire car la vulnérabilité a été jugée un faux positif.
Actuellement, il n'y a aucun risque de sécurité connu associé à la CVE-2026-33817. Cependant, il est important de maintenir bbolt à jour.
Surveillez les annonces de sécurité de go.etcd.io/bbolt et de la communauté de sécurité.
Signalez la vulnérabilité à l'équipe de développement de bbolt par le biais des canaux de communication appropriés.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.