漏洞预警|golang net/url 路径穿越漏洞
2022-9-14 16:35:16 Author: www.4hou.com(查看原文) 阅读量:38 收藏

导语:近日网上有关于开源项目golang net/url 路径穿越漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应

棱镜七彩安全预警

近日网上有关于开源项目golang net/url 路径穿越漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。

项目介绍

golang 的组件net/url实现了URL的解析处理和查询转义。

项目主页

https://golang.google.cn/

代码托管地址

https://github.com/golang/go

CVE编号

CVE-2022-32190

漏洞情况

golang 的组件net/url实现了URL的解析处理和查询转义。

golang net/ur存在路径穿越漏洞,漏洞源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 ../ 元素,攻击者可能利用该漏洞访问系统敏感文件。

受影响的版本

net/[email protected][1.19, 1.19.1)

net/[email protected][1, 1.18.6)

修复方案

升级golang到 1.18.6,1.19.1 或更高版本

链接地址:

https://nvd.nist.gov/vuln/detail/CVE-2022-32190

https://github.com/golang/go/issues/54385

https://groups.google.com/g/golang-announce/c/x49AQzIVX-s

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/l6V6
如有侵权请联系:admin#unsafe.sh