製品・ソフトウェアに関する情報

JVN脆弱性詳細

The Go ProjectのGoにおける不特定の脆弱性

Title	The Go ProjectのGoにおける不特定の脆弱性
Summary	ReverseProxyは、Rewrite関数に表示されないパラメータを含むクエリを転送することができます。Rewrite関数やクエリパラメータを解析するDirector関数と組み合わせて使用される場合、ReverseProxyは転送されるリクエストを消毒し、url.ParseQueryで解析されないクエリパラメータを削除します。しかし、ReverseProxyはParseQueryのクエリパラメータ総数の制限（GODEBUG=urlmaxqueryparams=Nによって制御）を考慮していません。その結果、Rewrite関数に見えないクエリパラメータを含むリクエストをReverseProxyが転送できる可能性があります。例えば、クエリ"a1=x&a2=x&...&a10000=x&hidden=y"は、パラメータ"hidden=y"をプロキシのRewrite関数から隠したまま転送できます。
Possible impacts	当該ソフトウェアが扱う情報の一部が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃の影響は、他のソフトウェアには及びません。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 7, 2026, midnight
Registration Date	May 15, 2026, 11:01 a.m.
Last Update	May 15, 2026, 11:01 a.m.

CVSS3.0 : 警告
Score	5.3
Vector	CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Affected System

The Go Project

Go 1.25.10 未満

Go 1.26.0 以上 1.26.3 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-39825	https://www.cve.org/CVERecord?id=CVE-2026-39825
National Vulnerability Database (NVD)
2	CVE-2026-39825	https://nvd.nist.gov/vuln/detail/CVE-2026-39825

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-noinfo	https://www.ipa.go.jp/security/vuln/scap/cwe.html

ベンダー情報

No	Name	URL
Go
1	GO-2026-4976 - Go Packages	https://pkg.go.dev/vuln/GO-2026-4976

その他

No	Name	URL
関連文書
1	net/http/httputil: reencode queries with many parameters in proxy (770541) Gerrit Code Review	https://go.dev/cl/770541
2	net/http/httputil: ReverseProxy forwards queries with more than urlmaxqueryparams query parameters Issue #78948 golang/go	https://go.dev/issue/78948
3	[security] Go 1.26.3 and Go 1.25.10 are released	https://groups.google.com/g/golang-announce/c/qcCIEXso47M

Change Log

No	Changed Details	Date of change
1	[2026年05月15日] 掲載	May 15, 2026, 11:01 a.m.

NVD Vulnerability Information

CVE-2026-39825

Summary	ReverseProxy can forward queries containing parameters not visible to Rewrite functions. When used with a Rewrite function, or a Director function which parses query parameters, ReverseProxy sanitizes the forwarded request to remove query parameters which are not parsed by url.ParseQuery. ReverseProxy does not take ParseQuery's limit on the total number of query parameters (controlled by GODEBUG=urlmaxqueryparams=N) into account. This can permit ReverseProxy to forward a request containing a query parameter that is not visible to the Rewrite function. For example, the query "a1=x&a2=x&...&a10000=x&hidden=y" can forward the parameter "hidden=y" while hiding it from the proxy's Rewrite function.
Publication Date	May 8, 2026, 5:16 a.m.
Registration Date	May 9, 2026, 4:10 a.m.
Last Update	May 14, 2026, 1:58 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:golang:go::::::::				1.25.10
cpe:2.3:a:golang:go::::::::	1.26.0			1.26.3

Related information, measures and tools

No	URL	refsource
1	https://go.dev/cl/770541	security@golang.org
2	https://go.dev/issue/78948	security@golang.org
3	https://groups.google.com/g/golang-announce/c/qcCIEXso47M	security@golang.org
4	https://pkg.go.dev/vuln/GO-2026-4976	security@golang.org

Common Vulnerabilities List