golang net/url 路径穿越漏洞

来源: 投稿
2022-09-15 09:39:00

漏洞描述

golang 的组件net/url实现了URL的解析处理和查询转义。

必威体育app手机版golang net/ur存在路径穿越漏洞,漏洞源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 ../ 元素,攻击者可能利用该漏洞访问系统敏感文件。

该漏洞已存在 POC。

漏洞名称 golang net/url 路径穿越漏洞
漏洞类型 路径遍历
发现时间 2022/9/13
漏洞影响广度 广
MPS编号 MPS-2022-17132
CVE编号 CVE-2022-32190
CNVD编号 -

影响范围

net/url@[1.19, 1.19.1)

必威体育app手机版net/url@[1, 1.18.6)

修复方案

升级golang到 1.18.6,1.19.1 或更高版本

参考链接

http://www.oscs1024.com/hd/MPS-2022-17132

http://nvd.nist.gov/vuln/detail/CVE-2022-32190

http://github.com/golang/go/issues/54385

http://groups.google.com/g/golang-announce/c/x49AQzIVX-s

    

情报订阅

OSCS(开源软件供应链安全社区)通过最快、最全的方式,发布开源项目最新的安全风险动态,包括开源组件安全漏洞、事件等信息。同时提供漏洞、投毒情报的免费订阅服务,社区用户可通过配置飞书、钉钉、企业微信机器人,及时获得一手情报信息推送:

http://www.oscs1024.com/?src=osc

具体订阅方式详见:

http://www.oscs1024.com/docs/vuln-warning/intro/?src=osc

展开阅读全文
精彩评论
java开发效率还不高?😥
2022-09-20 16:36
1
举报
java开发效率还高?😥
2022-09-20 13:20
1
举报
java开发效率还高?😥
2022-09-20 08:42
1
举报
范围那里是区间, 右边 ) 是不包含
2022-09-16 08:35
1
举报
4 收藏
分享
21 评论
4 收藏
分享
返回顶部
顶部