Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2022-23773

Опубликовано: 11 фев. 2022
Источник: nvd
CVSS3: 7.5
CVSS2: 5
EPSS Низкий

Уязвимость некорректной интерпретации названий веток как тегов версий в "cmd/go" на языке Go

Описание

В cmd/go в Go присутствует уязвимость, которая заключается в том, что названия веток могут быть некорректно интерпретированы как теги версий. Это приводит к проблемам с контролем доступа, когда злоумышленнику разрешено создавать ветки, но запрещено создавать теги.

Затронутые версии ПО

  • Go версии до 1.16.14
  • Go версии 1.17.x до 1.17.7

Тип уязвимости

Некорректный контроль доступа

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия до 1.16.14 (исключая)
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия от 1.17.0 (включая) до 1.17.7 (исключая)
Конфигурация 2

Одно из

cpe:2.3:a:netapp:beegfs_csi_driver:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:cloud_insights_telegraf_agent:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:kubernetes_monitoring_operator:-:*:*:*:*:*:*:*
cpe:2.3:a:netapp:storagegrid:-:*:*:*:*:*:*:*

EPSS

Процентиль: 20%
0.00062
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-436

Связанные уязвимости

ubuntu логотип

CVE-2022-23773

CVSS3: 7.5
ubuntu
больше 3 лет назад

cmd/go in Go before 1.16.14 and 1.17.x before 1.17.7 can misinterpret branch names that falsely appear to be version tags. This can lead to incorrect access control if an actor is supposed to be able to create branches but not tags.

redhat логотип

CVE-2022-23773

CVSS3: 7.5
redhat
больше 3 лет назад

cmd/go in Go before 1.16.14 and 1.17.x before 1.17.7 can misinterpret branch names that falsely appear to be version tags. This can lead to incorrect access control if an actor is supposed to be able to create branches but not tags.

msrc логотип

CVE-2022-23773

CVSS3: 7.5
msrc
больше 3 лет назад

Описание отсутствует

debian логотип

CVE-2022-23773

CVSS3: 7.5
debian
больше 3 лет назад

cmd/go in Go before 1.16.14 and 1.17.x before 1.17.7 can misinterpret ...

github логотип

GHSA-52j8-p7r3-733m

CVSS3: 7.5
github
больше 3 лет назад

cmd/go in Go before 1.16.14 and 1.17.x before 1.17.7 can misinterpret branch names that falsely appear to be version tags. This can lead to incorrect access control if an actor is supposed to be able to create branches but not tags.

EPSS

Процентиль: 20%
0.00062
Низкий

7.5 High

CVSS3

5 Medium

CVSS2

Дефекты

CWE-436