Skip to content

golang.org/x/crypto // golang.org/x/net vulns#1334

Open
zhenyatsk wants to merge 1 commit into
prometheus-community:masterfrom
zhenyatsk:patch-1
Open

golang.org/x/crypto // golang.org/x/net vulns#1334
zhenyatsk wants to merge 1 commit into
prometheus-community:masterfrom
zhenyatsk:patch-1

Conversation

@zhenyatsk

@zhenyatsk zhenyatsk commented Jun 29, 2026

Copy link
Copy Markdown

fix

┌─────────────────────┬────────────────┬──────────┬────────┬───────────────────┬───────────────┬──────────────────────────────────────────────────────────────┐
│       Library       │ Vulnerability  │ Severity │ Status │ Installed Version │ Fixed Version │                            Title                             │
├─────────────────────┼────────────────┼──────────┼────────┼───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/crypto │ CVE-2026-39827 │ HIGH     │ fixed  │ v0.49.0           │ 0.52.0        │ An authenticated SSH client that repeatedly opened channels  │
│                     │                │          │        │                   │               │ which were ...                                               │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39827                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-39828 │          │        │                   │               │ golang.org/x/crypto/ssh: golang.org/x/crypto/ssh:            │
│                     │                │          │        │                   │               │ Unauthorized command execution via discarded SSH permissions │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39828                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-39829 │          │        │                   │               │ golang.org/x/crypto/ssh: golang.org/x/crypto/ssh: Denial of  │
│                     │                │          │        │                   │               │ Service via crafted public key with excessive parameters...  │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39829                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-39830 │          │        │                   │               │ golang.org/x/crypto/ssh: golang.org/x/crypto/ssh: Denial of  │
│                     │                │          │        │                   │               │ Service via resource leak from unsolicited SSH responses...  │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39830                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-39832 │          │        │                   │               │ golang.org/x/crypto/ssh/agent:                               │
│                     │                │          │        │                   │               │ golang.org/x/crypto/ssh/agent: Security bypass due to        │
│                     │                │          │        │                   │               │ improper handling of key restrictions                        │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39832                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-39835 │          │        │                   │               │ SSH servers which use CertChecker as a public key callback   │
│                     │                │          │        │                   │               │ without set...                                               │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39835                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-42508 │          │        │                   │               │ golang.org/x/crypto/ssh/knownhosts: golang:                  │
│                     │                │          │        │                   │               │ golang.org/x/crypto/ssh/knownhosts: Revocation bypass via    │
│                     │                │          │        │                   │               │ unchecked SignatureKey                                       │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-42508                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-46595 │          │        │                   │               │ golang.org/x/crypto/ssh: golang.org/x/crypto/ssh:            │
│                     │                │          │        │                   │               │ Authorization bypass due to skipped source-address           │
│                     │                │          │        │                   │               │ validation                                                   │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-46595                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-46597 │          │        │                   │               │ An incorrectly placed cast from bytes to int allowed for     │
│                     │                │          │        │                   │               │ server-side p...                                             │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-46597                   │
│                     ├────────────────┼──────────┤        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-39831 │ MEDIUM   │        │                   │               │ The Verify() method for FIDO/U2F security key types          │
│                     │                │          │        │                   │               │ (sk-ecdsa-sha2-nis ...                                       │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39831                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-39833 │          │        │                   │               │ The in-memory keyring returned by NewKeyring() silently      │
│                     │                │          │        │                   │               │ accepted keys ...                                            │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39833                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-39834 │          │        │                   │               │ When writing data larger than 4GB in a single Write call     │
│                     │                │          │        │                   │               │ on...                                                        │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39834                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-46598 │          │        │                   │               │ golang.org/x/crypto/ssh/agent: golang:                       │
│                     │                │          │        │                   │               │ golang.org/x/crypto/ssh/agent: Denial of Service via         │
│                     │                │          │        │                   │               │ malformed input                                              │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-46598                   │
├─────────────────────┼────────────────┼──────────┤        ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/net    │ CVE-2026-25680 │ HIGH     │        │ v0.52.0           │ 0.55.0        │ Parsing arbitrary HTML can consume excessive CPU time,       │
│                     │                │          │        │                   │               │ possibly leadin ...                                          │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-25680                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-25681 │          │        │                   │               │ Parsing arbitrary HTML which is then rendered using Render   │
│                     │                │          │        │                   │               │ can result ...                                               │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-25681                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-27136 │          │        │                   │               │ Parsing arbitrary HTML which is then rendered using Render   │
│                     │                │          │        │                   │               │ can result ...                                               │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-27136                   │
│                     ├────────────────┤          │        │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-33814 │          │        │                   │ 0.53.0        │ net/http/internal/http2: golang: golang.org/x/net: Go        │
│                     │                │          │        │                   │               │ HTTP/2: Denial of Service via malformed                      │
│                     │                │          │        │                   │               │ SETTINGS_MAX_FRAME_SIZE frame...                             │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-33814                   │
│                     ├────────────────┤          │        │                   ├───────────────┼──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-39821 │          │        │                   │ 0.55.0        │ golang.org/x/net/idna: golang: golang.org/x/net/idna:        │
│                     │                │          │        │                   │               │ Privilege escalation via incorrect Punycode label processing │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39821                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-42502 │          │        │                   │               │ Parsing arbitrary HTML which is then rendered using Render   │
│                     │                │          │        │                   │               │ can result ...                                               │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-42502                   │
│                     ├────────────────┤          │        │                   │               ├──────────────────────────────────────────────────────────────┤
│                     │ CVE-2026-42506 │          │        │                   │               │ Parsing arbitrary HTML which is then rendered using Render   │
│                     │                │          │        │                   │               │ can result ...                                               │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-42506                   │
├─────────────────────┼────────────────┼──────────┤        ├───────────────────┼───────────────┼──────────────────────────────────────────────────────────────┤
│ golang.org/x/sys    │ CVE-2026-39824 │ UNKNOWN  │        │ v0.42.0           │ 0.44.0        │ Invoking integer overflow in NewNTUnicodeString in           │
│                     │                │          │        │                   │               │ golang.org/x/sys/windows                                     │
│                     │                │          │        │                   │               │ https://avd.aquasec.com/nvd/cve-2026-39824                   │
└─────────────────────┴────────────────┴──────────┴────────┴───────────────────┴───────────────┴──────────────────────────────────────────────────────────────┘

@zhenyatsk zhenyatsk marked this pull request as ready for review June 29, 2026 18:46
@zhenyatsk zhenyatsk force-pushed the patch-1 branch 6 times, most recently from 50e7bd0 to e679d1e Compare June 29, 2026 19:33
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Labels

None yet

Projects

None yet

Development

Successfully merging this pull request may close these issues.

1 participant