CVE-2026-39821
EUVD-2026-3144922.05.2026, 16:16
The ToASCII and ToUnicode functions incorrectly accept Punycode-encoded labels that decode to an ASCII-only label. For example, ToUnicode("xn--example-.com") incorrectly returns the name "example.com" rather than an error. This behavior can lead to privilege escalation in programs using the idna package. For example, a program which performs privilege checks on the ASCII hostname may reject "example.com" but permit "xn--example-.com". If that program subsequently converts the ASCII hostname to Unicode, it will inadvertently permits access to the Unicode name "example.com".EnginsightAffected Products (NVD)
| Vendor | Product | Version |
|---|---|---|
| golang | net | 𝑥 < 0.55.0 |
𝑥
= Vulnerable software versions
openSUSE / SLES Releases
openSUSE Product | |||||||||||||||||||||||||||||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| alloy |
| ||||||||||||||||||||||||||||||||
| amazon-ssm-agent |
| ||||||||||||||||||||||||||||||||
| apptainer |
| ||||||||||||||||||||||||||||||||
| apptainer-sle15_6 |
| ||||||||||||||||||||||||||||||||
| aws-iam-authenticator |
| ||||||||||||||||||||||||||||||||
| azure-storage-azcopy |
| ||||||||||||||||||||||||||||||||
| buildah |
| ||||||||||||||||||||||||||||||||
| containerd |
| ||||||||||||||||||||||||||||||||
| containerd-ctr |
| ||||||||||||||||||||||||||||||||
| containerd-devel |
| ||||||||||||||||||||||||||||||||
| docker-buildx |
| ||||||||||||||||||||||||||||||||
| google-cloud-sap-agent |
| ||||||||||||||||||||||||||||||||
| google-guest-agent |
| ||||||||||||||||||||||||||||||||
| google-osconfig-agent |
| ||||||||||||||||||||||||||||||||
| helm |
| ||||||||||||||||||||||||||||||||
| helm-bash-completion |
| ||||||||||||||||||||||||||||||||
| helm-zsh-completion |
| ||||||||||||||||||||||||||||||||
| warewulf4 |
| ||||||||||||||||||||||||||||||||
| warewulf4-dracut |
| ||||||||||||||||||||||||||||||||
| warewulf4-man |
| ||||||||||||||||||||||||||||||||
| warewulf4-overlay |
| ||||||||||||||||||||||||||||||||
| warewulf4-reference-doc |
|
Red Hat Enterprise Linux Releases
Red Hat Product | |||||
|---|---|---|---|---|---|
| git-lfs |
| ||||
| go-toolset |
| ||||
| golang |
| ||||
| golang-bin |
| ||||
| golang-docs |
| ||||
| golang-misc |
| ||||
| golang-race |
| ||||
| golang-src |
| ||||
| golang-tests |
| ||||
| grafana |
| ||||
| grafana-pcp |
| ||||
| grafana-selinux |
| ||||
| opentelemetry-collector |
|
Amazon Linux Releases
Amazon Package | |||||
|---|---|---|---|---|---|
| containerd |
| ||||
| containerd-debuginfo |
| ||||
| containerd-debugsource |
| ||||
| containerd-stress |
| ||||
| containerd-stress-debuginfo |
| ||||
| credentials-fetcher |
| ||||
| docker |
| ||||
| docker-debuginfo |
| ||||
| docker-debugsource |
| ||||
| ecs-init |
| ||||
| nerdctl |
| ||||
| nerdctl-debuginfo |
| ||||
| runfinch-finch |
| ||||
| soci-snapshotter |
|
Azure Linux Releases
Azure Package | |||
|---|---|---|---|
| application-gateway-kubernetes-ingress |
| ||
| azcopy |
| ||
| azurelinux-image-tools |
| ||
| cert-manager |
| ||
| cf-cli |
| ||
| cloud-provider-kubevirt |
| ||
| containerd2 |
| ||
| containerized-data-importer |
| ||
| coredns |
| ||
| cri-tools |
| ||
| docker-buildx |
| ||
| docker-cli |
| ||
| docker-compose |
| ||
| etcd |
| ||
| flannel |
| ||
| gh |
| ||
| git-lfs |
| ||
| golang |
| ||
| ignition-flatcar |
| ||
| influxdb |
| ||
| jx |
| ||
| kata-containers |
| ||
| kata-containers-cc |
| ||
| keda |
| ||
| kube-vip-cloud-provider |
| ||
| kubernetes |
| ||
| kubevirt |
| ||
| kured |
| ||
| moby-containerd-cc |
| ||
| moby-engine |
| ||
| multus |
| ||
| opa |
| ||
| packer |
| ||
| prometheus-adapter |
| ||
| prometheus-node-exporter |
| ||
| prometheus-process-exporter |
| ||
| skopeo |
| ||
| sriov-network-device-plugin |
| ||
| telegraf |
| ||
| vitess |
|
Vulnerability Media Exposure
References