Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-39323

Опубликовано: 05 окт. 2023
Источник: nvd
CVSS3: 8.1
EPSS Низкий

Уязвимость обхода ограничений директив "//go:cgo_" через использование директивы "//line" в Go

Описание

Директивы строк (//line) могут использоваться для обхода ограничений на директивы //go:cgo_, что позволяет передавать запрещенные флаги компоновщика и компилятора во время компиляции. Это может привести к неожиданному выполнению произвольного кода при запуске команды go build.

Для эксплуатации данной уязвимости требуется указать абсолютный путь к файлу, содержащему директиву, что значительно усложняет её использование.

Тип уязвимости

  • Обход ограничений
  • Выполнение произвольного кода

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия до 1.20.9 (исключая)
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия от 1.21.0 (включая) до 1.21.2 (исключая)
Конфигурация 2

Одно из

cpe:2.3:o:fedoraproject:fedora:37:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:*
cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:*

EPSS

Процентиль: 13%
0.00045
Низкий

8.1 High

CVSS3

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2023-39323

CVSS3: 8.1
ubuntu
больше 1 года назад

Line directives ("//line") can be used to bypass the restrictions on "//go:cgo_" directives, allowing blocked linker and compiler flags to be passed during compilation. This can result in unexpected execution of arbitrary code when running "go build". The line directive requires the absolute path of the file in which the directive lives, which makes exploiting this issue significantly more complex.

redhat логотип

CVE-2023-39323

CVSS3: 8.1
redhat
больше 1 года назад

Line directives ("//line") can be used to bypass the restrictions on "//go:cgo_" directives, allowing blocked linker and compiler flags to be passed during compilation. This can result in unexpected execution of arbitrary code when running "go build". The line directive requires the absolute path of the file in which the directive lives, which makes exploiting this issue significantly more complex.

debian логотип

CVE-2023-39323

CVSS3: 8.1
debian
больше 1 года назад

Line directives ("//line") can be used to bypass the restrictions on " ...

suse-cvrf логотип

SUSE-SU-2023:4018-1

suse-cvrf
больше 1 года назад

Security update for go1.20

suse-cvrf логотип

SUSE-SU-2023:4017-1

suse-cvrf
больше 1 года назад

Security update for go1.21

EPSS

Процентиль: 13%
0.00045
Низкий

8.1 High

CVSS3

Дефекты

NVD-CWE-noinfo