本文介绍了golang的net/url组件存在的路径穿越漏洞,该漏洞可能导致攻击者访问系统敏感文件。影响范围包括net/url的特定版本。解决方案是升级到1.18.6, 1.19.1或更高版本。文章提供了相关链接以获取更多详细信息和安全情报订阅方式。"
124201600,12431923,使用Nacos Spring SDK管理ACM配置,"['java', 'maven', '配置管理', 'Nacos', 'ACM']
漏洞描述
golang 的组件net/url实现了URL的解析处理和查询转义。
golang net/ur存在路径穿越漏洞,漏洞源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 …/ 元素,攻击者可能利用该漏洞访问系统敏感文件。
该漏洞已存在 POC。
| 漏洞名称 | golang net/url 路径穿越漏洞 |
|---|---|
| 漏洞类型 | 路径遍历 |
| 发现时间 | 2022/9/13 |
| 漏洞影响广度 | 广 |
| MPS编号 | MPS-2022-17132 |
| CVE编号 | CVE-2022-32190 |
| CNVD编号 | - |
影响范围
net/url@[1.19, 1.19.1)
net/url@[1, 1.18.6)
修复方案
升级golang到 1.18.6,1.19.1 或更高版本
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
