CVE-2020-36569

Опубликовано: 27 дек. 2022

Источник: nvd

CVSS3: 9.1

EPSS Низкий

Описание

Authentication is globally bypassed in github.com/nanobox-io/golang-nanoauth between v0.0.0-20160722212129-ac0cc4484ad4 and v0.0.0-20200131131040-063a3fb69896 if ListenAndServe is called with an empty token.

Ссылки

https://github.com/nanobox-io/golang-nanoauth/commit/063a3fb69896acf985759f0fe3851f15973993f3
Patch
Third Party Advisory
https://github.com/nanobox-io/golang-nanoauth/pull/5
Third Party Advisory
https://pkg.go.dev/vuln/GO-2020-0004
Third Party Advisory
https://github.com/nanobox-io/golang-nanoauth/commit/063a3fb69896acf985759f0fe3851f15973993f3
Patch
Third Party Advisory
https://github.com/nanobox-io/golang-nanoauth/pull/5
Third Party Advisory
https://pkg.go.dev/vuln/GO-2020-0004
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

cpe:2.3:a:digitalocean:golang-nanoauth:*:*:*:*:*:go:*:*

Версия от 2016-07-22 (включая) до 2020-01-31 (включая)

EPSS

Процентиль: 58%

0.00361

Низкий

9.1 Critical

CVSS3

Дефекты

CWE-287

Связанные уязвимости

GHSA-hrm3-3xm6-x33h