Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

nvd логотип

CVE-2023-45285

Опубликовано: 06 дек. 2023
Источник: nvd
CVSS3: 7.5
EPSS Низкий

Уязвимость использования небезопасного протокола "git://" при получении модулей с суффиксом ".git" в Go

Описание

Использование команды go get для получения модуля с суффиксом ".git" может неожиданно переключиться на небезопасный протокол "git://", если модуль недоступен через безопасные протоколы "https://" и "git+ssh://", даже если для данного модуля не установлен параметр GOINSECURE. Эта проблема влияет только на пользователей, которые не используют прокси-сервер модулей и получают модули напрямую (т.е. при настройке GOPROXY=off).

Тип уязвимости

Небезопасная передача данных

Ссылки

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия до 1.20.12 (исключая)
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
Версия от 1.21.0-0 (включая) до 1.21.5 (исключая)

EPSS

Процентиль: 17%
0.00055
Низкий

7.5 High

CVSS3

Дефекты

NVD-CWE-noinfo

Связанные уязвимости

ubuntu логотип

CVE-2023-45285

CVSS3: 7.5
ubuntu
больше 1 года назад

Using go get to fetch a module with the ".git" suffix may unexpectedly fallback to the insecure "git://" protocol if the module is unavailable via the secure "https://" and "git+ssh://" protocols, even if GOINSECURE is not set for said module. This only affects users who are not using the module proxy and are fetching modules directly (i.e. GOPROXY=off).

redhat логотип

CVE-2023-45285

CVSS3: 7.5
redhat
больше 1 года назад

Using go get to fetch a module with the ".git" suffix may unexpectedly fallback to the insecure "git://" protocol if the module is unavailable via the secure "https://" and "git+ssh://" protocols, even if GOINSECURE is not set for said module. This only affects users who are not using the module proxy and are fetching modules directly (i.e. GOPROXY=off).

debian логотип

CVE-2023-45285

CVSS3: 7.5
debian
больше 1 года назад

Using go get to fetch a module with the ".git" suffix may unexpectedly ...

github логотип

GHSA-5f94-vhjq-rpg8

CVSS3: 7.5
github
больше 1 года назад

Using go get to fetch a module with the ".git" suffix may unexpectedly fallback to the insecure "git://" protocol if the module is unavailable via the secure "https://" and "git+ssh://" protocols, even if GOINSECURE is not set for said module. This only affects users who are not using the module proxy and are fetching modules directly (i.e. GOPROXY=off).

fstec логотип

BDU:2024-00176

CVSS3: 7.5
fstec
больше 1 года назад

Уязвимость компонента cmd-go языка программирования Go, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

EPSS

Процентиль: 17%
0.00055
Низкий

7.5 High

CVSS3

Дефекты

NVD-CWE-noinfo