CVE Rejeitado
Este CVE foi oficialmente rejeitado e não é mais considerado uma vulnerabilidade válida. Pode ter sido um duplicado, não explorável ou retirado pelo reportador.
Plataforma
go
Componente
go.etcd.io/bbolt
Corrigido em
1.10.0
2.5.4
1.4.4
CVE-2026-33817 describes an index out-of-range error within the go.etcd.io/bbolt library. This condition arises when the library encounters a branch page containing zero elements, potentially resulting in a denial-of-service (DoS) scenario. The vulnerability affects versions of go.etcd.io/bbolt up to and including 1.4.3, with a fix available in version 2.5.4.
A vulnerabilidade CVE-2026-33817, originalmente identificada na biblioteca go.etcd.io/bbolt, referia-se a um possível erro de índice fora dos limites ao processar páginas de ramificação com zero elementos. No entanto, a Autoridade de Numeração de Vulnerabilidades Comuns (CVE) determinou que este problema é um falso positivo e o aviso foi retirado. Embora o aviso original sugerisse um risco potencial, a investigação subsequente revelou que a condição que desencadeava o erro não era explorável na prática. Portanto, não existe um risco de segurança real associado a esta identificação de vulnerabilidade. Recomenda-se continuar a utilizar a biblioteca bbolt, mas estar atento a futuras atualizações e avisos de segurança.
O aviso original descrevia um cenário em que uma página de ramificação no banco de dados bbolt, contendo zero elementos, poderia levar a um erro de índice fora dos limites. No entanto, a investigação subsequente demonstrou que a lógica da biblioteca bbolt lidava corretamente com esta situação, evitando o erro. A condição que se acreditava ser explorável não se materializou na prática, levando à conclusão de que a vulnerabilidade era um falso positivo. Não foram identificadas tentativas de exploração desta suposta vulnerabilidade, e não se espera que ocorram no futuro.
Applications and systems utilizing go.etcd.io/bbolt versions 1.4.3 and earlier are potentially at risk. This includes Go applications using bbolt for embedded database functionality, particularly those handling untrusted data or operating in environments where malicious actors could attempt to manipulate database content.
disclosure
Status do Exploit
EPSS
0.01% (percentil 2%)
Vetor CVSS
Dado que a CVE-2026-33817 foi retirada como um falso positivo, nenhuma mitigação específica é necessária. A atualização para a versão 2.5.4, mencionada no aviso original, não é mais necessária para abordar esta suposta vulnerabilidade. No entanto, é uma boa prática manter todas as bibliotecas e dependências atualizadas para as últimas versões estáveis para garantir a segurança geral do sistema. Monitorar os anúncios de segurança de go.etcd.io/bbolt e da comunidade de segurança é crucial para identificar e abordar quaisquer vulnerabilidades reais que possam surgir no futuro. A transparência na gestão de vulnerabilidades, como a retirada desta CVE, é um indicador positivo da maturidade do projeto.
Actualice a la versión 2.5.4 o superior para evitar el error de índice fuera de rango. Esta actualización corrige un problema que podía ocurrir al procesar páginas de rama con cero elementos, lo que podría llevar a un comportamiento inesperado o fallos en la aplicación.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
A Autoridade de Numeração de Vulnerabilidades Comuns (CVE) determinou que a vulnerabilidade era um falso positivo após uma investigação mais aprofundada.
Não, a atualização não é mais necessária porque a vulnerabilidade foi considerada um falso positivo.
Atualmente, não existe um risco de segurança conhecido associado à CVE-2026-33817. No entanto, é importante manter o bbolt atualizado.
Monitore os anúncios de segurança de go.etcd.io/bbolt e da comunidade de segurança.
Reporte a vulnerabilidade à equipe de desenvolvimento do bbolt através dos canais de comunicação adequados.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.