Уязвимость генерации некорректного кода командой go при использовании cgo из-за директории с символами новой строки
Описание
Команда go может генерировать некорректный код во время сборки при использовании cgo. Это приводит к непредсказуемому поведению программы, написанной на языке Go и использующей cgo. Проблема возникает при выполнении недоверенных модулей, содержащих директории с символами новой строки в названиях.
Затронутые версии ПО
Уязвимость затрагивает модули, полученные в режиме GOPATH, то есть, когда GO111MODULE=off. Модули, загружаемые командой go, например, с использованием go get, не затронуты.
Тип уязвимости
Некорректная работа программного обеспечения
Ссылки
- Patch
- Issue Tracking
- Mailing ListRelease Notes
- Mailing List
- Vendor Advisory
- Patch
- Issue Tracking
- Mailing ListRelease Notes
- Mailing List
- Vendor Advisory
Уязвимые конфигурации
Одно из
EPSS
9.8 Critical
CVSS3
Дефекты
Связанные уязвимости
The go command may generate unexpected code at build time when using cgo. This may result in unexpected behavior when running a go program which uses cgo. This may occur when running an untrusted module which contains directories with newline characters in their names. Modules which are retrieved using the go command, i.e. via "go get", are not affected (modules retrieved using GOPATH-mode, i.e. GO111MODULE=off, may be affected).
The go command may generate unexpected code at build time when using cgo. This may result in unexpected behavior when running a go program which uses cgo. This may occur when running an untrusted module which contains directories with newline characters in their names. Modules which are retrieved using the go command, i.e. via "go get", are not affected (modules retrieved using GOPATH-mode, i.e. GO111MODULE=off, may be affected).
The go command may generate unexpected code at build time when using c ...
The go command may generate unexpected code at build time when using cgo. This may result in unexpected behavior when running a go program which uses cgo. This may occur when running an untrusted module which contains directories with newline characters in their names. Modules which are retrieved using the go command, i.e. via "go get", are not affected (modules retrieved using GOPATH-mode, i.e. GO111MODULE=off, may be affected).
EPSS
9.8 Critical
CVSS3