CVE-2025-47906

Опубликовано: 18 сент. 2025

Источник: nvd

CVSS3: 6.5

EPSS Низкий

Описание

If the PATH environment variable contains paths which are executables (rather than just directories), passing certain strings to LookPath ("", ".", and ".."), can result in the binaries listed in the PATH being unexpectedly returned.

Ссылки

https://go.dev/cl/691775
Patch
https://go.dev/issue/74466
Exploit
Issue Tracking
Third Party Advisory
https://groups.google.com/g/golang-announce/c/x5MKroML2yM
Mailing List
Release Notes
https://pkg.go.dev/vuln/GO-2025-3956
Vendor Advisory
http://www.openwall.com/lists/oss-security/2025/08/06/1
Mailing List
Issue Tracking

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия до 1.23.12 (исключая)

cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

Версия от 1.24.0 (включая) до 1.24.6 (исключая)

EPSS

Процентиль: 4%

0.0002

Низкий

6.5 Medium

CVSS3

Дефекты

NVD-CWE-Other

Связанные уязвимости

CVE-2025-47906

CVSS3: 6.5

ubuntu

5 месяцев назад

CVE-2025-47906

CVSS3: 6.5

debian

5 месяцев назад

If the PATH environment variable contains paths which are executables ...

RLSA-2025:22005

rocky

2 месяца назад

Moderate: go-rpm-macros security update

GHSA-gwrf-jf3h-w649

CVSS3: 6.5

github

5 месяцев назад

ELSA-2025-22005

oracle-oval

2 месяца назад

ELSA-2025-22005: go-rpm-macros security update (MODERATE)

EPSS

Процентиль: 4%

0.0002

Низкий

6.5 Medium

CVSS3

Дефекты

NVD-CWE-Other