Vulnerability Details CVE-2020-29510
The encoding/xml package in Go versions 1.15 and earlier does not correctly preserve the semantics of directives during tokenization round-trips, which allows an attacker to craft inputs that behave in conflicting ways during different stages of processing in affected downstream applications.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.002
EPSS Ranking 38.6%
CVSS Severity
CVSS v3 Score 9.8
CVSS v2 Score 6.8
References
- https://github.com/mattermost/xml-roundtrip-validator/blob/master/advisories/unstable-directives.md
- https://security.netapp.com/advisory/ntap-20210129-0006/
- https://github.com/mattermost/xml-roundtrip-validator/blob/master/advisories/unstable-directives.md
- https://security.netapp.com/advisory/ntap-20210129-0006/
Products affected by CVE-2020-29510
-
cpe:2.3:a:golang:go:-
-
cpe:2.3:a:golang:go:0.0.0-20201203163018-be400aefbc4c
-
cpe:2.3:a:golang:go:1.0
-
cpe:2.3:a:golang:go:1.0.1
-
cpe:2.3:a:golang:go:1.0.2
-
cpe:2.3:a:golang:go:1.0.3
-
cpe:2.3:a:golang:go:1.1
-
cpe:2.3:a:golang:go:1.1.1
-
cpe:2.3:a:golang:go:1.1.2
-
cpe:2.3:a:golang:go:1.10
-
cpe:2.3:a:golang:go:1.10.1
-
cpe:2.3:a:golang:go:1.10.2
-
cpe:2.3:a:golang:go:1.10.3
-
cpe:2.3:a:golang:go:1.10.4
-
cpe:2.3:a:golang:go:1.10.5
-
cpe:2.3:a:golang:go:1.10.6
-
cpe:2.3:a:golang:go:1.10.7
-
cpe:2.3:a:golang:go:1.10.8
-
cpe:2.3:a:golang:go:1.11.0
-
cpe:2.3:a:golang:go:1.11.1
-
cpe:2.3:a:golang:go:1.11.10
-
cpe:2.3:a:golang:go:1.11.11
-
cpe:2.3:a:golang:go:1.11.12
-
cpe:2.3:a:golang:go:1.11.13
-
cpe:2.3:a:golang:go:1.11.2
-
cpe:2.3:a:golang:go:1.11.3
-
cpe:2.3:a:golang:go:1.11.4
-
cpe:2.3:a:golang:go:1.11.5
-
cpe:2.3:a:golang:go:1.11.6
-
cpe:2.3:a:golang:go:1.11.7
-
cpe:2.3:a:golang:go:1.11.8
-
cpe:2.3:a:golang:go:1.11.9
-
cpe:2.3:a:golang:go:1.12
-
cpe:2.3:a:golang:go:1.12.0
-
cpe:2.3:a:golang:go:1.12.1
-
cpe:2.3:a:golang:go:1.12.10
-
cpe:2.3:a:golang:go:1.12.11
-
cpe:2.3:a:golang:go:1.12.12
-
cpe:2.3:a:golang:go:1.12.13
-
cpe:2.3:a:golang:go:1.12.14
-
cpe:2.3:a:golang:go:1.12.15
-
cpe:2.3:a:golang:go:1.12.16
-
cpe:2.3:a:golang:go:1.12.17
-
cpe:2.3:a:golang:go:1.12.2
-
cpe:2.3:a:golang:go:1.12.3
-
cpe:2.3:a:golang:go:1.12.4
-
cpe:2.3:a:golang:go:1.12.5
-
cpe:2.3:a:golang:go:1.12.6
-
cpe:2.3:a:golang:go:1.12.7
-
cpe:2.3:a:golang:go:1.12.8
-
cpe:2.3:a:golang:go:1.12.9
-
cpe:2.3:a:golang:go:1.13
-
cpe:2.3:a:golang:go:1.13.1
-
cpe:2.3:a:golang:go:1.13.10
-
cpe:2.3:a:golang:go:1.13.11
-
cpe:2.3:a:golang:go:1.13.13
-
cpe:2.3:a:golang:go:1.13.15
-
cpe:2.3:a:golang:go:1.13.2
-
cpe:2.3:a:golang:go:1.13.3
-
cpe:2.3:a:golang:go:1.13.4
-
cpe:2.3:a:golang:go:1.13.5
-
cpe:2.3:a:golang:go:1.13.6
-
cpe:2.3:a:golang:go:1.13.7
-
cpe:2.3:a:golang:go:1.13.8
-
cpe:2.3:a:golang:go:1.13.9
-
cpe:2.3:a:golang:go:1.14
-
cpe:2.3:a:golang:go:1.14.0
-
cpe:2.3:a:golang:go:1.14.1
-
cpe:2.3:a:golang:go:1.14.12
-
cpe:2.3:a:golang:go:1.14.14
-
cpe:2.3:a:golang:go:1.14.2
-
cpe:2.3:a:golang:go:1.14.3
-
cpe:2.3:a:golang:go:1.14.5
-
cpe:2.3:a:golang:go:1.14.7
-
cpe:2.3:a:golang:go:1.14.8
-
cpe:2.3:a:golang:go:1.15
-
cpe:2.3:a:golang:go:1.2
-
cpe:2.3:a:golang:go:1.2.1
-
cpe:2.3:a:golang:go:1.2.2
-
cpe:2.3:a:golang:go:1.3
-
cpe:2.3:a:golang:go:1.3.1
-
cpe:2.3:a:golang:go:1.3.2
-
cpe:2.3:a:golang:go:1.3.3
-
cpe:2.3:a:golang:go:1.4
-
cpe:2.3:a:golang:go:1.4.1
-
cpe:2.3:a:golang:go:1.4.2
-
cpe:2.3:a:golang:go:1.4.3
-
cpe:2.3:a:golang:go:1.5
-
cpe:2.3:a:golang:go:1.5.1
-
cpe:2.3:a:golang:go:1.5.2
-
cpe:2.3:a:golang:go:1.5.3
-
cpe:2.3:a:golang:go:1.5.4
-
cpe:2.3:a:golang:go:1.6
-
cpe:2.3:a:golang:go:1.6.1
-
cpe:2.3:a:golang:go:1.6.2
-
cpe:2.3:a:golang:go:1.6.3
-
cpe:2.3:a:golang:go:1.6.4
-
cpe:2.3:a:golang:go:1.7
-
cpe:2.3:a:golang:go:1.7.1
-
cpe:2.3:a:golang:go:1.7.2
-
cpe:2.3:a:golang:go:1.7.3
-
cpe:2.3:a:golang:go:1.7.4
-
cpe:2.3:a:golang:go:1.7.5
-
cpe:2.3:a:golang:go:1.7.6
-
cpe:2.3:a:golang:go:1.8
-
cpe:2.3:a:golang:go:1.8.1
-
cpe:2.3:a:golang:go:1.8.2
-
cpe:2.3:a:golang:go:1.8.3
-
cpe:2.3:a:golang:go:1.8.4
-
cpe:2.3:a:golang:go:1.8.5
-
cpe:2.3:a:golang:go:1.8.6
-
cpe:2.3:a:golang:go:1.8.7
-
cpe:2.3:a:golang:go:1.9
-
cpe:2.3:a:golang:go:1.9.1
-
cpe:2.3:a:golang:go:1.9.2
-
cpe:2.3:a:golang:go:1.9.3
-
cpe:2.3:a:golang:go:1.9.4
-
cpe:2.3:a:golang:go:1.9.5
-
cpe:2.3:a:golang:go:1.9.6
-
cpe:2.3:a:golang:go:1.9.7
-
cpe:2.3:a:netapp:trident:-