CVE-2022-26945

Опубликовано: 25 мая 2022

Источник: nvd

CVSS3: 9.8

CVSS2: 7.5

EPSS Низкий

Описание

go-getter up to 1.5.11 and 2.0.2 allowed protocol switching, endless redirect, and configuration bypass via abuse of custom HTTP response header processing. Fixed in 1.6.1 and 2.1.0.

Ссылки

https://discuss.hashicorp.com
Vendor Advisory
https://discuss.hashicorp.com/t/hcsec-2022-13-multiple-vulnerabilities-in-go-getter-library/39930
Mitigation
Vendor Advisory
https://discuss.hashicorp.com
Vendor Advisory
https://discuss.hashicorp.com/t/hcsec-2022-13-multiple-vulnerabilities-in-go-getter-library/39930
Mitigation
Vendor Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:hashicorp:go-getter:*:*:*:*:*:*:*:*

Версия до 1.5.11 (включая)

cpe:2.3:a:hashicorp:go-getter:2.0.2:*:*:*:*:*:*:*

EPSS

Процентиль: 24%

0.00083

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

CVE-2022-26945

CVSS3: 9.8

ubuntu

больше 3 лет назад

go-getter up to 1.5.11 and 2.0.2 allowed protocol switching, endless redirect, and configuration bypass via abuse of custom HTTP response header processing. Fixed in 1.6.1 and 2.1.0.

CVE-2022-26945

CVSS3: 9.8

redhat

больше 3 лет назад

go-getter up to 1.5.11 and 2.0.2 allowed protocol switching, endless redirect, and configuration bypass via abuse of custom HTTP response header processing. Fixed in 1.6.1 and 2.1.0.

CVE-2022-26945

CVSS3: 9.8

debian

больше 3 лет назад

go-getter up to 1.5.11 and 2.0.2 allowed protocol switching, endless r ...

GHSA-x24g-9w7v-vprh

CVSS3: 9.8

github

больше 3 лет назад

HashiCorp go-getter command injection

BDU:2022-04663

CVSS3: 9.8

fstec

больше 3 лет назад

Уязвимость библиотеки go-getter, связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 24%

0.00083

Низкий

9.8 Critical

CVSS3

7.5 High

CVSS2

Дефекты

NVD-CWE-noinfo