golang net/url 路径穿越漏洞

OSCS开源供应链安全
 OSCS开源供应链安全
发布于 2022年09月15日
收藏 4

漏洞描述

golang 的组件net/url实现了URL的解析处理和查询转义。

golang net/ur存在路径穿越漏洞,漏洞源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 ../ 元素,攻击者可能利用该漏洞访问系统敏感文件。

该漏洞已存在 POC。

漏洞名称 golang net/url 路径穿越漏洞
漏洞类型 路径遍历
发现时间 2022/9/13
漏洞影响广度 广
MPS编号 MPS-2022-17132
CVE编号 CVE-2022-32190
CNVD编号 -

影响范围

net/url@[1.19, 1.19.1)

net/url@[1, 1.18.6)

修复方案

升级golang到 1.18.6,1.19.1 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-17132

https://nvd.nist.gov/vuln/detail/CVE-2022-32190

https://github.com/golang/go/issues/54385

https://groups.google.com/g/golang-announce/c/x49AQzIVX-s

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

https://www.oscs1024.com/?src=osc

具体订阅方式详见:

https://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 开源中国社区 [http://www.oschina.net]
本文标题:golang net/url 路径穿越漏洞
加载中
返回顶部
顶部