つみかさね

CVE-2026-33810

High(8.2)

CVE-2026-33810 — Go crypto/x509 証明書検証バイパス

公開日: 2026-04-21データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
GoThe Go ProjectCL 763763適用前

対応ガイド

high|推奨セキュリティ修正影響: 広範

推奨アクション

  1. 1Go製サービスでTLS証明書検証を行っているか確認する
  2. 2excluded DNS constraintを使用している場合は影響範囲を確認する
  3. 3Goランタイムを最新バージョンへアップデートする

影響対象

Go製サービス運用者

補足

  • -信頼されたCAチェーンの検証時にのみ影響するため、実害の発生には条件があります
CVEGocrypto/x509証明書検証TLS

概要

Go言語の crypto/x509 パッケージにおいて、証明書チェーンの検証時にexcluded DNS constraintがワイルドカードDNS SANに正しく適用されない脆弱性が存在します。制約とSANで異なる大文字・小文字を使用した場合にバイパスが可能です。信頼されたルートCAから発行された証明書チェーンの検証時にのみ影響します。

CVSSベクトル

項目
CVSSスコア8.2(High)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権不要
ユーザー関与不要
CWECWE-295(不正な証明書検証)

影響を受けるソフトウェア

製品ベンダー影響バージョン
GoThe Go ProjectCL 763763適用前のバージョン

修正バージョンと回避策

  • 修正: Go CL 763763 で修正
  • 回避策: excluded DNS constraintを使用していない場合は直接の影響なし。Goランタイムのアップデートを推奨

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-33810
Go:https://go.dev/issue/78332
Go Vuln DB:https://pkg.go.dev/vuln/GO-2026-4866
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。