Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2023-05718

Опубликовано: 27 июл. 2023
Источник: fstec
CVSS3: 9.8
CVSS2: 10
EPSS Низкий

Описание

Уязвимость файла go.mod языка программирования Go связана с неверным управлением генерацией кода при загрузке цепочки инструментов Go Toolchain. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, повысить свои привилегии и выполнить произвольный код

Вендор

Red Hat Inc.
The Go Project

Наименование ПО

Red Hat Enterprise Linux
Red Hat Storage
OpenShift Container Platform
Openshift Service Mesh
Red Hat OpenShift Virtualization
Go

Версия ПО

8 (Red Hat Enterprise Linux)
3 (Red Hat Storage)
4 (OpenShift Container Platform)
2 (Openshift Service Mesh)
9 (Red Hat Enterprise Linux)
4 (Red Hat OpenShift Virtualization)
1.21.0 (Go)

Тип ПО

Операционная система
Прикладное ПО информационных систем
ПО виртуализации/ПО виртуального программно-аппаратного средства

Операционные системы и аппаратные платформы

Red Hat Inc. Red Hat Enterprise Linux 8
Red Hat Inc. Red Hat Enterprise Linux 9

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Go:
https://go-review.googlesource.com/c/go/+/526158
https://github.com/golang/go/issues/62198
Для программных продуктов Red Hat Inc.:
https://access.redhat.com/security/cve/CVE-2023-39320

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 74%
0.00798
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

ubuntu логотип

CVE-2023-39320

CVSS3: 9.8
ubuntu
больше 2 лет назад

The go.mod toolchain directive, introduced in Go 1.21, can be leveraged to execute scripts and binaries relative to the root of the module when the "go" command was executed within the module. This applies to modules downloaded using the "go" command from the module proxy, as well as modules downloaded directly using VCS software.

redhat логотип

CVE-2023-39320

CVSS3: 8.8
redhat
больше 2 лет назад

The go.mod toolchain directive, introduced in Go 1.21, can be leveraged to execute scripts and binaries relative to the root of the module when the "go" command was executed within the module. This applies to modules downloaded using the "go" command from the module proxy, as well as modules downloaded directly using VCS software.

nvd логотип

CVE-2023-39320

CVSS3: 9.8
nvd
больше 2 лет назад

The go.mod toolchain directive, introduced in Go 1.21, can be leveraged to execute scripts and binaries relative to the root of the module when the "go" command was executed within the module. This applies to modules downloaded using the "go" command from the module proxy, as well as modules downloaded directly using VCS software.

debian логотип

CVE-2023-39320

CVSS3: 9.8
debian
больше 2 лет назад

The go.mod toolchain directive, introduced in Go 1.21, can be leverage ...

github логотип

GHSA-rxv8-v965-v333

CVSS3: 9.8
github
больше 2 лет назад

The go.mod toolchain directive, introduced in Go 1.21, can be leveraged to execute scripts and binaries relative to the root of the module when the "go" command was executed within the module. This applies to modules downloaded using the "go" command from the module proxy, as well as modules downloaded directly using VCS software.

EPSS

Процентиль: 74%
0.00798
Низкий

9.8 Critical

CVSS3

10 Critical

CVSS2