Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-02476

Опубликовано: 27 фев. 2025
Источник: fstec
CVSS3: 4.4
CVSS2: 3.2
EPSS Низкий

Описание

Уязвимость пакетов net/http, x/net/proxy и x/net/http/httpproxy языка программирования Go связана с некорректным сопоставлением хостов с шаблонами прокси-серверов. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации

Вендор

ООО «Ред Софт»
АО «ИВК»
The Go Project
АО «СберТех»

Наименование ПО

РЕД ОС
АЛЬТ СП 10
Go
Platform V SberLinux OS Server

Версия ПО

7.3 (РЕД ОС)
- (АЛЬТ СП 10)
до 1.23.7 (Go)
от 1.24.0 до 1.24.1 (Go)
9.1 (Platform V SberLinux OS Server)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» АЛЬТ СП 10 -
АО «СберТех» Platform V SberLinux OS Server 9.1

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,2)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Go:
https://github.com/golang/go/commit/25177ecde0922c50753c043579d17828b7ee88e7
https://github.com/golang/go/commit/334de7982f8ec959c74470dd709ceedfd6dbd50a
https://github.com/golang/go/releases/tag/go1.24.1
https://github.com/golang/go/releases/tag/go1.23.7
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-golang-cve-2025-22870/?sphrase_id=1075847
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 3%
0.00018
Низкий

4.4 Medium

CVSS3

3.2 Low

CVSS2

Связанные уязвимости

redos логотип

ROS-20250403-13

CVSS3: 4.4
redos
7 месяцев назад

Уязвимость golang

redos логотип

ROS-20250630-09

CVSS3: 7.5
redos
4 месяца назад

Множественные уязвимости consul

redos логотип

ROS-20250806-13

CVSS3: 9.1
redos
3 месяца назад

Множественные уязвимости portainer-ce

ubuntu логотип

CVE-2025-22870

CVSS3: 4.4
ubuntu
8 месяцев назад

Matching of hosts against proxy patterns can improperly treat an IPv6 zone ID as a hostname component. For example, when the NO_PROXY environment variable is set to "*.example.com", a request to "[::1%25.example.com]:80` will incorrectly match and not be proxied.

redhat логотип

CVE-2025-22870

CVSS3: 4.4
redhat
8 месяцев назад

Matching of hosts against proxy patterns can improperly treat an IPv6 zone ID as a hostname component. For example, when the NO_PROXY environment variable is set to "*.example.com", a request to "[::1%25.example.com]:80` will incorrectly match and not be proxied.

EPSS

Процентиль: 3%
0.00018
Низкий

4.4 Medium

CVSS3

3.2 Low

CVSS2