Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-07316

Опубликовано: 30 апр. 2025
Источник: fstec
CVSS3: 4.4
CVSS2: 3.6
EPSS Низкий

Описание

Уязвимость языка программирования Golang связана с ошибками проверки ввода при обработке последовательностей обхода каталогов в именах файлов. Эксплуатация уязвимости может позволить нарушителю получить несанкционированный доступ к защищаемой информации

Вендор

Novell Inc.
Сообщество свободного программного обеспечения
ООО «Ред Софт»
ООО «Юбитех»
The Go Project
ООО «Открытая мобильная платформа»

Наименование ПО

openSUSE Tumbleweed
Debian GNU/Linux
РЕД ОС
SUSE Linux Enterprise Server for SAP Applications
Suse Linux Enterprise Server
Suse Linux Enterprise Desktop
OpenSUSE Leap
UBLinux
Go
Аврора Центр

Версия ПО

- (openSUSE Tumbleweed)
11 (Debian GNU/Linux)
12 (Debian GNU/Linux)
7.3 (РЕД ОС)
15 SP3 (SUSE Linux Enterprise Server for SAP Applications)
15 SP4 (SUSE Linux Enterprise Server for SAP Applications)
15 SP3-LTSS (Suse Linux Enterprise Server)
15 SP5 (SUSE Linux Enterprise Server for SAP Applications)
15 SP4-LTSS (Suse Linux Enterprise Server)
15 SP6 (Suse Linux Enterprise Desktop)
15 SP6 (Suse Linux Enterprise Server)
15 SP6 (SUSE Linux Enterprise Server for SAP Applications)
15.6 (OpenSUSE Leap)
до 2405 (UBLinux)
15 SP5-LTSS (Suse Linux Enterprise Server)
15 SP7 (Suse Linux Enterprise Desktop)
15 SP7 (Suse Linux Enterprise Server)
15 SP7 (SUSE Linux Enterprise Server for SAP Applications)
от 1.23.0 до 1.24.2 (Go)
до 5.4.3 (Аврора Центр)

Тип ПО

Операционная система
Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Novell Inc. openSUSE Tumbleweed -
Сообщество свободного программного обеспечения Debian GNU/Linux 11
Сообщество свободного программного обеспечения Debian GNU/Linux 12
ООО «Ред Софт» РЕД ОС 7.3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP3
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP4
Novell Inc. Suse Linux Enterprise Server 15 SP3-LTSS
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP5
Novell Inc. Suse Linux Enterprise Server 15 SP4-LTSS
Novell Inc. Suse Linux Enterprise Desktop 15 SP6
Novell Inc. Suse Linux Enterprise Server 15 SP6
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP6
Novell Inc. OpenSUSE Leap 15.6
ООО «Юбитех» UBLinux до 2405
Novell Inc. Suse Linux Enterprise Server 15 SP5-LTSS
Novell Inc. Suse Linux Enterprise Desktop 15 SP7
Novell Inc. Suse Linux Enterprise Server 15 SP7
Novell Inc. SUSE Linux Enterprise Server for SAP Applications 15 SP7

Уровень опасности уязвимости

Низкий уровень опасности (базовая оценка CVSS 2.0 составляет 3,6)
Средний уровень опасности (базовая оценка CVSS 3.1 составляет 4,4)

Возможные меры по устранению уязвимости

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.
Использование рекомендаций:
Для Golang:
https://github.com/Homebrew/homebrew-core/pull/222634
https://github.com/golang/go/issues/73555
Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/
Для Debian GNU/Linux:
https://security-tracker.debian.org/tracker/CVE-2025-22873
Для программных продуктов Novell Inc.:
https://www.suse.com/security/cve/CVE-2025-22873.html
Для UBLinux:
https://security.ublinux.ru/CVE-2025-22873
Для Аврора:
Обновить ППО ""Аврора Центр"" до версии 5.4.3 или выше.
В случае невозможности обновления запретить доступ пользователей, рассматриваемых в качестве потенциальных нарушителей, к веб-интерфейсу ППО

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Данные уточняются

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 0%
0.00004
Низкий

4.4 Medium

CVSS3

3.6 Low

CVSS2

Связанные уязвимости

redos логотип

ROS-20251222-7301

CVSS3: 4.4
redos
3 месяца назад

Уязвимость nomad

redos логотип

ROS-20250619-09

CVSS3: 4.4
redos
10 месяцев назад

Уязвимость golang

ubuntu логотип

CVE-2025-22873

CVSS3: 3.8
ubuntu
около 2 месяцев назад

It was possible to improperly access the parent directory of an os.Root by opening a filename ending in "../". For example, Root.Open("../") would open the parent directory of the Root. This escape only permits opening the parent directory itself, not ancestors of the parent or files contained within the parent.

redhat логотип

CVE-2025-22873

CVSS3: 5.3
redhat
около 2 месяцев назад

It was possible to improperly access the parent directory of an os.Root by opening a filename ending in "../". For example, Root.Open("../") would open the parent directory of the Root. This escape only permits opening the parent directory itself, not ancestors of the parent or files contained within the parent.

nvd логотип

CVE-2025-22873

CVSS3: 3.8
nvd
около 2 месяцев назад

It was possible to improperly access the parent directory of an os.Root by opening a filename ending in "../". For example, Root.Open("../") would open the parent directory of the Root. This escape only permits opening the parent directory itself, not ancestors of the parent or files contained within the parent.

EPSS

Процентиль: 0%
0.00004
Низкий

4.4 Medium

CVSS3

3.6 Low

CVSS2