golang net/url 路径穿越漏洞
2022-9-17 22:1:5 Author: Go语言中文网(查看原文) 阅读量:23 收藏
点击上方蓝色“Go语言中文网”关注,每天一起学 Go

漏洞描述

golang 的组件 net/url 实现了 URL 的解析处理和查询转义。

golang net/ur 存在路径穿越漏洞,漏洞源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 ../ 元素,攻击者可能利用该漏洞访问系统敏感文件。

该漏洞已存在 POC。

漏洞名称golang net/url 路径穿越漏洞
漏洞类型路径遍历
发现时间2022/9/13
漏洞影响广度广
MPS 编号MPS-2022-17132
CVE 编号CVE-2022-32190
CNVD 编号-

影响范围

net/[email protected][1.19, 1.19.1)

net/[email protected][1, 1.18.6)

修复方案

升级 golang 到 1.18.6,1.19.1 或更高版本

参考链接

https://www.oscs1024.com/hd/MPS-2022-17132

https://nvd.nist.gov/vuln/detail/CVE-2022-32190

https://github.com/golang/go/issues/54385

https://groups.google.com/g/golang-announce/c/x49AQzIVX-s

推荐阅读

福利
我为大家整理了一份从入门到进阶的Go学习资料礼包,包含学习建议:入门看什么,进阶看什么。关注公众号 「polarisxu」,回复 ebook 获取;还可以回复「进群」,和数万 Gopher 交流学习。


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMTA4Njc0OQ==&mid=2651453449&idx=1&sn=ea174fa5504fc5a7fa3b4967a26ba11a&chksm=80bb26fbb7ccafed13dc206e9074ba50391f23663800b18f11d2d812a77d3758050a58490e25#rd
如有侵权请联系:admin#unsafe.sh