CVE-2020-28362 [高] | Denial of Service（Go）

CVE-2020-28362 综合评估为中等风险（64.1/100）：CVSS 技术影响为高级，利用概率（EPSS 3.81%）近一日 EPSS 上升 +3.10%，被利用关注度持续升高。梳理受影响资产并纳入修补计划。

#	日期	旧 EPSS 分数	新 EPSS 分数	变化（新 − 旧）
1	2026-06-15	0.71%	3.81%	+3.10%
2	2026-05-16	0.15%	0.71%	+0.56%
3	2025-11-21	—	0.15%	—

日期

旧 EPSS 分数

新 EPSS 分数

变化（新 − 旧）

2026-06-15

0.71%

3.81%

+3.10%

2026-05-16

0.15%

0.71%

+0.56%

2025-11-21

—

0.15%

—

底座分	版本	严重度	向量	可利用性	影响	分数来源
7.5	3.1	HIGH	`CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H` 点击展开攻击向量 (AV:N) 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。攻击复杂度 (AC:L) 前置条件清晰，成功路径稳定，不依赖罕见竞态或苛刻环境。权限要求 (PR:N) 不必事先登录或提权，匿名会话也可能成为跳板。用户交互 (UI:N) 无需受害者点击链接、放行宏或安装软件，攻击链可自动走完。作用域 (S:U) 破坏局限在脆弱组件原本的安全权限与信任域之内。机密性影响 (C:N) 几乎谈不上实质性的敏感数据外泄。完整性影响 (I:N) 对记录真实性与不可否认性的破坏可忽略。可用性影响 (A:H) 可造成长时间中断、关键事务无法完成，或伴随数据损毁导致难以自愈。	3.9	3.6	[email protected]
5.0	2.0	MEDIUM	`AV:N/AC:L/Au:N/C:N/I:N/A:P` 点击展开访问路径 (AV:N) 只要路由可达，即可从远端发起利用。访问复杂度 (AC:L) 步骤短、路径清晰，复现成本低。认证 (AU:N) 全程无需有效身份。机密性影响 (C:N) 对机密性无影响。完整性影响 (I:N) 对完整性无影响。可用性影响 (A:P) 可用性受到部分损害。	10.0	2.9	[email protected]

底座分

版本

严重度

向量

可利用性

影响

分数来源

7.5

3.1

HIGH

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 点击展开

攻击向量 (AV:N): 经互联网或企业内可路由网段即可从远端触达，攻击者不必出现在设备旁。
攻击复杂度 (AC:L): 前置条件清晰，成功路径稳定，不依赖罕见竞态或苛刻环境。
权限要求 (PR:N): 不必事先登录或提权，匿名会话也可能成为跳板。
用户交互 (UI:N): 无需受害者点击链接、放行宏或安装软件，攻击链可自动走完。
作用域 (S:U): 破坏局限在脆弱组件原本的安全权限与信任域之内。
机密性影响 (C:N): 几乎谈不上实质性的敏感数据外泄。
完整性影响 (I:N): 对记录真实性与不可否认性的破坏可忽略。
可用性影响 (A:H): 可造成长时间中断、关键事务无法完成，或伴随数据损毁导致难以自愈。

3.9

3.6

[email protected]

5.0

2.0

MEDIUM

AV:N/AC:L/Au:N/C:N/I:N/A:P 点击展开

访问路径 (AV:N): 只要路由可达，即可从远端发起利用。
访问复杂度 (AC:L): 步骤短、路径清晰，复现成本低。
认证 (AU:N): 全程无需有效身份。
机密性影响 (C:N): 对机密性无影响。
完整性影响 (I:N): 对完整性无影响。
可用性影响 (A:P): 可用性受到部分损害。

10.0

2.9

[email protected]

CVE-2020-28362 的 OS 跟踪

vendor	priority	summary	link
`alpine`	high	CVE-2020-28362: 1 source package rows (go); 25 state rows across 7 repos (3.17-community, 3.18-community, 3.19-community, 3.20-community, 3.21-community, 3.22-community, edge-community); fixed 7, open 18.	https://security.alpinelinux.org/vuln/CVE-2020-28362
`debian`	not yet assigned	CVE-2020-28362 not yet assigned priority: Debian including 1 source packages (golang-1.15), 1 status rows across 1 suites (bullseye): resolved 1.	https://security-tracker.debian.org/tracker/CVE-2020-28362
`redhat`	medium	—	https://access.redhat.com/security/cve/CVE-2020-28362
`suse`	high	CVE-2020-28362 severity important: SUSE including 30 source package names (delve-1.4.1-1.module+el8.3.0+7840+63dfb1ed, go-toolset-1.14.12-1.module+el8.3.0+8784+380394dc, …), 62 product×package rows across 12 product lines (SUSE Liberty Linux 8, SUSE Linux Enterprise Module for Development Tools 15 SP1, … (12 product lines)): Fixed 62.	https://www.suse.com/security/cve/CVE-2020-28362/
`ubuntu`	medium	CVE-2020-28362 medium priority: Ubuntu including 8 source packages (golang, golang-1.10, …), 120 status rows across 16 suites (bionic, focal, groovy, hirsute, impish, jammy, kinetic, lunar, mantic, noble, oracular, plucky, questing, trusty, upstream, xenial): DNE 92, not-affected 14, needs-triage 6, ignored 5, released 2, needed 1.	https://ubuntu.com/security/CVE-2020-28362

CVE-2020-28362 的影响软件 / 配置

厂商	产品	版本	原始 CPE
golang	go	< 1.14.12	cpe:2.3:a:golang:go::::::::
golang	go	>= 1.15, < 1.15.5	cpe:2.3:a:golang:go::::::::
fedoraproject	fedora	32	cpe:2.3:o:fedoraproject:fedora:32:::::::*
fedoraproject	fedora	33	cpe:2.3:o:fedoraproject:fedora:33:::::::*
netapp	cloud_insights_telegraf_agent	—	cpe:2.3:a:netapp:cloud_insights_telegraf_agent:-:::::::*
netapp	trident	—	cpe:2.3:a:netapp:trident:-:::::::*

CVE-2020-28362 的参考链接

URL	标签
https://groups.google.com/g/golang-nuts/c/c-ssaaS7RMI	Release Notes Third Party Advisory
https://lists.apache.org/thread.html/rd02e75766cd333a0df417588460f5e4477060633000bfe94955851fd%40%3Cissues.trafficcontrol.apache.org%3E
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2W4COUPL3YVTZ6RTEIT6LPBDJUFF3VSP/
https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/F3ZSHGNTJWCWYAKY5OLZS2XQQYHSXSUO/
https://security.netapp.com/advisory/ntap-20201202-0004/	Third Party Advisory
https://www.arista.com/en/support/advisories-notices/security-advisories/12166-security-advisory-62	Third Party Advisory

URL

标签

https://groups.google.com/g/golang-nuts/c/c-ssaaS7RMI

Release Notes Third Party Advisory

https://lists.apache.org/thread.html/rd02e75766cd333a0df417588460f5e4477060633000bfe94955851fd%40%3Cissues.trafficcontrol.apache.org%3E

https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/2W4COUPL3YVTZ6RTEIT6LPBDJUFF3VSP/

https://lists.fedoraproject.org/archives/list/package-announce%40lists.fedoraproject.org/message/F3ZSHGNTJWCWYAKY5OLZS2XQQYHSXSUO/

https://security.netapp.com/advisory/ntap-20201202-0004/

Third Party Advisory

https://www.arista.com/en/support/advisories-notices/security-advisories/12166-security-advisory-62

Third Party Advisory