CVE-2020-15216 – Signature Validation Bypass in goxmldsig
https://notcve.org/view.php?id=CVE-2020-15216
In goxmldsig (XML Digital Signatures implemented in pure Go) before version 1.1.0, with a carefully crafted XML file, an attacker can completely bypass signature validation and pass off an altered file as a signed one. A patch is available, all users of goxmldsig should upgrade to at least revision f6188febf0c29d7ffe26a0436212b19cb9615e64 or version 1.1.0 En goxmldsig (firmas digitales XML implementadas en Pure Go), versiones anteriores a 1.1.0, con un archivo XML cuidadosamente diseñado, un atacante puede omitir por completo una comprobación de firmas y dejar pasar un archivo alterado como uno firmado. Un parche está disponible, todos los usuarios de goxmldsig deben actualizar al menos a la revisión f6188febf0c29d7ffe26a0436212b19cb9615e64 o versión 1.1.0 • https://github.com/russellhaering/goxmldsig/commit/f6188febf0c29d7ffe26a0436212b19cb9615e64 https://github.com/russellhaering/goxmldsig/security/advisories/GHSA-q547-gmf8-8jr7 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/GUH33FPUXED3FHYL25BJOQPRKFGPOMS2 https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/ZECBFD4M4PHBMBOCMSQ537NOU37QOVWP https://pkg.go.dev/github.com/russellhaering/goxmldsig?tab=overview • CWE-347: Improper Verification of Cryptographic Signature •
CVE-2020-7711 – Denial of Service (DoS)
https://notcve.org/view.php?id=CVE-2020-7711
This affects all versions of package github.com/russellhaering/goxmldsig. There is a crash on nil-pointer dereference caused by sending malformed XML signatures. Esto afecta a todas las versiones del paquete github.com/russellhaering/goxmldsig. Se presenta un bloqueo en una desreferencia del puntero nil causado por el envío de firmas XML malformadas. • https://github.com/russellhaering/goxmldsig/issues/48 https://snyk.io/vuln/SNYK-GOLANG-GITHUBCOMRUSSELLHAERINGGOXMLDSIG-608301 • CWE-476: NULL Pointer Dereference •