• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

Выполнение произвольных команд

Главная Специалистам База уязвимостей Выполнение произвольных команд

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:C/I:C/A:C)
Производитель ПО
Go
Наименование ПО
Go (1.1, 1.10.1, 1.10beta1, 1.9.5)
Описание
Уязвимость в реализации "go get" в Go, связанная с использованием параметра командной строки -insecure и отсутствием проверки пути импорта (get/vcs.go проверяет только "://" в строках), позволяет злоумышленникам, действующим удаленно, выполнить произвольные системные команды, используя специально сформированный сайт.
Как исправить
Для устранения уязвимости необходимо установить последнюю версию продукта, соответствующую используемой платформе. Необходимую информацию можно получить по адресу:
https://go.dev/
Ссылки
Источник: CVE
Наименование: CVE-2018-7187
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7187