CVE-2026-39824 — Invoking integer overflow in NewNTUnicodeString in golang.org/x/sys/windows

描述

NewNTUnicodeString does not check for string length overflow. When provided with a string that overflows the maximum size of a NTUnicodeString (a 16-bit number of bytes), it returns a truncated string rather than an error.

如何修補 CVE-2026-39824

要修補 CVE-2026-39824,請將受影響套件升級到下列已修補版本。

Go/golang.org/x/sys—升級至 0.44.0 或更新版本

CVE-2026-39824 正在被利用嗎?

低 — EPSS 為 0.0%,目前沒有觀察到大規模利用活動。

受影響套件(1)

from 0, < 0.44.0

CVSS 分數

來源	版本	嚴重程度	向量
nvd	CVSS 3.1	LOW3.3	CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N

參考連結(3)

PATCHgo.dev/cl/770080
REPORTgo.dev/issue/78916
WEBgroups.google.com/g/golang-announce/c/6MMI8Lj-Atg