Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-02476

Опубликовано: 27 фев. 2025
Источник: fstec
CVSS3: 4.4
CVSS2: 3.2
EPSS Низкий

Описание

Уязвимость пакетов net/http, x/net/proxy и x/net/http/httpproxy языка программирования Go связана с некорректным сопоставлением хостов с шаблонами прокси-серверов. Эксплуатация уязвимости может позволить нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации

Вендор

ООО «Ред Софт»
АО «ИВК»
The Go Project

Наименование ПО

РЕД ОС
АЛЬТ СП 10
Go

Версия ПО

7.3 (РЕД ОС)
- (АЛЬТ СП 10)
до 1.23.7 (Go)
от 1.24.0 до 1.24.1 (Go)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

ООО «Ред Софт» РЕД ОС 7.3
АО «ИВК» АЛЬТ СП 10 -

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,2)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:
Для Go:
https://github.com/golang/go/commit/25177ecde0922c50753c043579d17828b7ee88e7
https://github.com/golang/go/commit/334de7982f8ec959c74470dd709ceedfd6dbd50a
https://github.com/golang/go/releases/tag/go1.24.1
https://github.com/golang/go/releases/tag/go1.23.7
Для РедОС:
https://redos.red-soft.ru/support/secure/uyazvimosti/uyazvimost-golang-cve-2025-22870/?sphrase_id=1075847
Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 1%
0.00009
Низкий

4.4 Medium

CVSS3

3.2 Low

CVSS2

Связанные уязвимости

redos логотип

ROS-20250403-13

CVSS3: 4.4
redos
4 месяца назад

Уязвимость golang

redos логотип

ROS-20250630-09

CVSS3: 7.5
redos
около 1 месяца назад

Множественные уязвимости consul

redos логотип

ROS-20250806-13

CVSS3: 9.1
redos
3 дня назад

Множественные уязвимости portainer-ce

ubuntu логотип

CVE-2025-22870

CVSS3: 4.4
ubuntu
5 месяцев назад

Matching of hosts against proxy patterns can improperly treat an IPv6 zone ID as a hostname component. For example, when the NO_PROXY environment variable is set to "*.example.com", a request to "[::1%25.example.com]:80` will incorrectly match and not be proxied.

redhat логотип

CVE-2025-22870

CVSS3: 4.4
redhat
5 месяцев назад

Matching of hosts against proxy patterns can improperly treat an IPv6 zone ID as a hostname component. For example, when the NO_PROXY environment variable is set to "*.example.com", a request to "[::1%25.example.com]:80` will incorrectly match and not be proxied.

EPSS

Процентиль: 1%
0.00009
Низкий

4.4 Medium

CVSS3

3.2 Low

CVSS2