CVE-2025-22873

Опубликовано: 04 фев. 2026

Источник: nvd

CVSS3: 3.8

EPSS Низкий

Описание

It was possible to improperly access the parent directory of an os.Root by opening a filename ending in "../". For example, Root.Open("../") would open the parent directory of the Root. This escape only permits opening the parent directory itself, not ancestors of the parent or files contained within the parent.

Ссылки

https://go.dev/cl/670036
Patch
Product
https://go.dev/issue/73555
Issue Tracking
Vendor Advisory
https://groups.google.com/g/golang-announce/c/UZoIkUT367A/m/5WDxKizJAQAJ
Mailing List
Release Notes
https://pkg.go.dev/vuln/GO-2026-4403
Vendor Advisory
Issue Tracking
http://www.openwall.com/lists/oss-security/2025/05/06/2
Mailing List
Third Party Advisory

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия до 1.23.9 (исключая)

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия от 1.24.0 (включая) до 1.24.3 (исключая)

EPSS

Процентиль: 0%

0.00004

Низкий

3.8 Low

CVSS3

Дефекты

CWE-23

Связанные уязвимости

CVE-2025-22873

CVSS3: 3.8

ubuntu

около 2 месяцев назад

CVE-2025-22873

CVSS3: 5.3

redhat

около 2 месяцев назад

CVE-2025-22873

CVSS3: 3.8

debian

около 2 месяцев назад

It was possible to improperly access the parent directory of an os.Roo ...

SUSE-SU-2025:1551-1

suse-cvrf

11 месяцев назад

Security update for go1.24

SUSE-SU-2025:01551-1

suse-cvrf

10 месяцев назад

Security update for go1.24

EPSS

Процентиль: 0%

0.00004

Низкий

3.8 Low

CVSS3

Дефекты

CWE-23