Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • La nueva vulnerabilidad de contrabando de parámetros ‘ParseThru’ afecta a las aplicaciones basadas en Golang
  • Tecnología

La nueva vulnerabilidad de contrabando de parámetros ‘ParseThru’ afecta a las aplicaciones basadas en Golang

teknomers 2 de Ağustos de 2022 (Last updated: 2 de Ağustos de 2022) 3 minutes read
La nueva vulnerabilidad de contrabando de parámetros 'ParseThru' afecta a


Los investigadores de seguridad han descubierto una nueva vulnerabilidad llamada ParseThru afectando aplicaciones basadas en Golang que podrían ser objeto de abuso para obtener acceso no autorizado a aplicaciones basadas en la nube.

“La vulnerabilidad recién descubierta permite que un actor de amenazas eluda las validaciones bajo ciertas condiciones, como resultado del uso de métodos de análisis de URL inseguros integrados en el lenguaje”, dijo la firma de ciberseguridad israelí Oxeye en un comunicado. reporte compartido con The Hacker News.

El problema, en esencia, tiene que ver con las inconsistencias derivadas de los cambios introducidos en la lógica de análisis de URL de Golang que se implementa en la biblioteca “net/url”.

La seguridad cibernética

Si bien las versiones del lenguaje de programación anteriores a la 1.17 trataban los puntos y comas como un delimitador de consulta válido (p. ej., ejemplo.com?a=1;b=2&c=3), este comportamiento se ha modificado desde entonces para generar un error al encontrar una cadena de consulta que contiene un punto y coma

“Los paquetes net/url y net/http solían aceptar “;” (punto y coma) como separador de configuración en las consultas de URL, además de “&” (ampersand)”, según el Notas de lanzamiento para la versión 1.17 lanzada en agosto pasado.

“Ahora, las configuraciones con punto y coma sin codificación porcentual se rechazan y los servidores net/http registrarán una advertencia en ‘Server.ErrorLog’ cuando encuentren uno en una URL de solicitud”.

El problema surge cuando una API pública basada en Golang basada en la versión 1.17 o posterior se comunica con un servicio de back-end que ejecuta una versión anterior, lo que lleva a un escenario en el que un actor malicioso podría pasar de contrabando solicitudes que incorporan parámetros de consulta que, de lo contrario, serían rechazados.

En pocas palabras, la idea es enviar solicitudes que contengan un punto y coma en la cadena de consulta, que la API de Golang orientada al usuario ignora, pero procesa el servicio interno. Esto, a su vez, es posible gracias a que uno de los métodos responsable de obtener la cadena de consulta analizada descarta silenciosamente el error devuelto.

La seguridad cibernética

Oxeye dijo que identificó varias instancias de ParseThru en proyectos de código abierto como Harbor, Traefik y Skipper, lo que hizo posible eludir las validaciones implementadas y llevar a cabo acciones no autorizadas. Los problemas se han abordado luego de la divulgación responsable a los respectivos proveedores.

Esta no es la primera vez que el análisis de URL plantea un problema de seguridad. A principios de enero, Claroty y Snyk revelaron hasta ocho fallas en bibliotecas de terceros escritas en lenguajes C, JavaScript, PHP, Python y Ruby que se originaron como resultado de una confusión en el análisis de URL.



ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: Aquí puedes comprar el elegante vestido de noche negro y el clutch de la Reina Letizia
Next: El portero Mulder se une a Go Ahead Eagles sin transferencias

Related Stories

El tour de force del francés Withings, que se inserta
  • Tecnología

El tour de force del francés Withings, que se inserta en el sistema de salud estadounidense.

teknomers 16 de Temmuz de 2026
Esta meteorito que cayó sobre una casa nos ofrece pistas
  • Tecnología

Esta meteorito que cayó sobre una casa nos ofrece pistas clave sobre el origen de la vida en la Tierra.

teknomers 16 de Temmuz de 2026
TSMC va a invertir la increíble suma de 100 mil
  • Tecnología

TSMC va a invertir la increíble suma de 100 mil millones de dólares en Estados Unidos

teknomers 16 de Temmuz de 2026

You May Have Missed

  • Deporte

Inglaterra contra India: Joe Root afirma que los bateadores jóvenes están aprendiendo en el trabajo en el cricket ODI

teknomers 16 de Temmuz de 2026
  • General

Operador de teleprompter de Trump bajo investigación por comercio de información privilegiada

teknomers 16 de Temmuz de 2026
  • Deporte

Mercato: un joven portero de Angers se acerca a Manchester City

teknomers 16 de Temmuz de 2026
  • General

Donald Trump ahora cobrará por el acceso prioritario a sus publicaciones en su red social, ya que «los mercados se mueven en función»

teknomers 16 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.