Los investigadores de seguridad han descubierto una nueva vulnerabilidad llamada ParseThru<\/strong> afectando aplicaciones basadas en Golang que podr\u00edan ser objeto de abuso para obtener acceso no autorizado a aplicaciones basadas en la nube.<\/p>\n \u201cLa vulnerabilidad reci\u00e9n descubierta permite que un actor de amenazas eluda las validaciones bajo ciertas condiciones, como resultado del uso de m\u00e9todos de an\u00e1lisis de URL inseguros integrados en el lenguaje\u201d, dijo la firma de ciberseguridad israel\u00ed Oxeye en un comunicado. reporte<\/a> compartido con The Hacker News.<\/p>\n El problema, en esencia, tiene que ver con las inconsistencias derivadas de los cambios introducidos en la l\u00f3gica de an\u00e1lisis de URL de Golang que se implementa en la biblioteca “net\/url”.<\/p>\n Si bien las versiones del lenguaje de programaci\u00f3n anteriores a la 1.17 trataban los puntos y comas como un delimitador de consulta v\u00e1lido (p. ej., ejemplo.com?a=1;b=2&c=3), este comportamiento se ha modificado desde entonces para generar un error al encontrar una cadena de consulta que contiene un punto y coma<\/p>\n “Los paquetes net\/url y net\/http sol\u00edan aceptar “;” (punto y coma) como separador de configuraci\u00f3n en las consultas de URL, adem\u00e1s de “&” (ampersand)”, seg\u00fan el Notas de lanzamiento<\/a> para la versi\u00f3n 1.17 lanzada en agosto pasado.<\/p>\n “Ahora, las configuraciones con punto y coma sin codificaci\u00f3n porcentual se rechazan y los servidores net\/http registrar\u00e1n una advertencia en ‘Server.ErrorLog’ cuando encuentren uno en una URL de solicitud”.<\/p>\n El problema surge cuando una API p\u00fablica basada en Golang basada en la versi\u00f3n 1.17 o posterior se comunica con un servicio de back-end que ejecuta una versi\u00f3n anterior, lo que lleva a un escenario en el que un actor malicioso podr\u00eda pasar de contrabando solicitudes que incorporan par\u00e1metros de consulta que, de lo contrario, ser\u00edan rechazados.<\/p>\n En pocas palabras, la idea es enviar solicitudes que contengan un punto y coma en la cadena de consulta, que la API de Golang orientada al usuario ignora, pero procesa el servicio interno. Esto, a su vez, es posible gracias a que uno de los m\u00e9todos<\/a> responsable de obtener la cadena de consulta analizada descarta silenciosamente el error devuelto.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/Un-nuevo-estudio-encuentra-que-la-mayoria-de-los-proveedores.png\")
<\/a><\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1659450202_279_La-nueva-vulnerabilidad-de-contrabando-de-parametros-ParseThru-afecta-a.jpg\")
<\/div>\n![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1659450202_249_La-nueva-vulnerabilidad-de-contrabando-de-parametros-ParseThru-afecta-a.jpg\")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/07\/1656664565_47_Amazon-parchea-silenciosamente-la-vulnerabilidad-de-gravedad-alta-en-la.jpg\")
<\/a><\/div>\n