Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu fzf i koordynował proces ujawniania informacji.

Podatność CVE-2026-53432: fzf jest podatny na atak typu Integer Overflow w funkcji FuzzyMatchV2 prowadzący do awarii aplikacji . Gdy długość wejściowej linii wynosi około 2 200 000 bajtów, a długość wzorca 999 bajtów, dochodzi do przepełnienia zmiennej. Środowisko uruchomieniowe Go wykrywa nieprawidłowe granice indeksu i natychmiast kończy działanie procesu, wywołując nieodwracalny błąd typu panic.

Podatność CVE-2026-53433: fzf jest podatny na atak typu Denial of Service (DoS) spowodowany nieefektywnym przetwarzaniem treści żądań HTTP w trybie --listen. Podatność wynika z wielokrotnej konkatenacji łańcuchów znaków podczas przetwarzania treści żądania, co prowadzi do kwadratowej złożoności czasowej (O(n²)). Specjalnie przygotowane żądanie POST zawierające dużą liczbę małych segmentów może wywołać nadmierne zużycie zasobów procesora podczas obsługi żądania. W rezultacie pojedyncze złośliwe żądanie może całkowicie zająć jednowątkowy serwer HTTP, blokując obsługę pozostałych klientów i powodując odmowę świadczenia usługi (Denial of Service).

Te problemy zostały naprawione w wersji 0.73.1.

Podziękowania

Za zgłoszenie podatności dziękujemy Michałowi Majchrowiczowi i Marcinowi Wyczechowskiemu z zespołu AFINE.