漏洞预警|golang net/url 路径穿越漏洞
棱镜七彩安全预警
近日网上有关于开源项目golang net/url 路径穿越漏洞,棱镜七彩威胁情报团队第一时间探测到,经分析研判,向全社会发起开源漏洞预警公告,提醒相关安全团队及时响应。
项目介绍
golang 的组件net/url实现了URL的解析处理和查询转义。
项目主页
代码托管地址
CVE编号
CVE-2022-32190
漏洞情况
golang 的组件net/url实现了URL的解析处理和查询转义。
golang net/ur存在路径穿越漏洞,漏洞源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 ../ 元素,攻击者可能利用该漏洞访问系统敏感文件。
受影响的版本
net/url@[1.19, 1.19.1)
net/url@[1, 1.18.6)
修复方案
升级golang到 1.18.6,1.19.1 或更高版本
链接地址:
https://nvd.nist.gov/vuln/detail/CVE-2022-32190
https://github.com/golang/go/issues/54385
https://groups.google.com/g/golang-announce/c/x49AQzIVX-s
