漏洞预警|golang net/url 路径穿越漏洞

棱镜七彩行业 2022-09-14 16:35:16

112027

导语：近日网上有关于开源项目golang net/url 路径穿越漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应

棱镜七彩安全预警

近日网上有关于开源项目golang net/url 路径穿越漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

golang 的组件net/url实现了URL的解析处理和查询转义。

项目主页

https://golang.google.cn/

代码托管地址

https://github.com/golang/go

CVE编号

CVE-2022-32190

漏洞情况

golang 的组件net/url实现了URL的解析处理和查询转义。

golang net/ur存在路径穿越漏洞，漏洞源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 ../ 元素，攻击者可能利用该漏洞访问系统敏感文件。

受影响的版本

net/url@[1.19, 1.19.1)

net/url@[1, 1.18.6)

修复方案

升级golang到 1.18.6,1.19.1 或更高版本

链接地址：

https://nvd.nist.gov/vuln/detail/CVE-2022-32190

如若转载，请注明原文地址

感谢您的支持，我会继续努力的!

打开微信扫一扫后点击右上角即可分享哟