Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

redhat логотип

CVE-2022-26945

Опубликовано: 24 мая 2022
Источник: redhat
CVSS3: 9.8
EPSS Низкий

Описание

go-getter up to 1.5.11 and 2.0.2 allowed protocol switching, endless redirect, and configuration bypass via abuse of custom HTTP response header processing. Fixed in 1.6.1 and 2.1.0.

A flaw was found in go-getter. This flaw allows an attacker to misuse go-getter to execute commands on the host. This action may be possible when symlink processing and path traversal are allowed.

Меры по смягчению последствий

The fix includes new configuration options to help limit the security exposure and have more secure defaults.

Затронутые пакеты

ПлатформаПакетСостояниеРекомендацияРелиз
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/agent-service-rhel8Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/cluster-curator-controller-rhel8Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/clusterlifecycle-state-metrics-rhel8Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/managedcluster-import-controller-rhel8Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/multicloud-manager-rhel8Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/multiclusterhub-rhel8Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/multicluster-operators-application-rhel8Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/search-aggregator-rhel8Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/subctl-rhel9Not affected
Red Hat Advanced Cluster Management for Kubernetes 2rhacm2/submariner-rhel8-operatorNot affected

Показывать по

Ссылки на источники

Дополнительная информация

Статус:

Important
Дефект:
CWE-77
https://bugzilla.redhat.com/show_bug.cgi?id=2092928go-getter: command injection vulnerability

EPSS

Процентиль: 24%
0.00083
Низкий

9.8 Critical

CVSS3

Связанные уязвимости

ubuntu логотип

CVE-2022-26945

CVSS3: 9.8
ubuntu
больше 3 лет назад

go-getter up to 1.5.11 and 2.0.2 allowed protocol switching, endless redirect, and configuration bypass via abuse of custom HTTP response header processing. Fixed in 1.6.1 and 2.1.0.

nvd логотип

CVE-2022-26945

CVSS3: 9.8
nvd
больше 3 лет назад

go-getter up to 1.5.11 and 2.0.2 allowed protocol switching, endless redirect, and configuration bypass via abuse of custom HTTP response header processing. Fixed in 1.6.1 and 2.1.0.

debian логотип

CVE-2022-26945

CVSS3: 9.8
debian
больше 3 лет назад

go-getter up to 1.5.11 and 2.0.2 allowed protocol switching, endless r ...

github логотип

GHSA-x24g-9w7v-vprh

CVSS3: 9.8
github
больше 3 лет назад

HashiCorp go-getter command injection

fstec логотип

BDU:2022-04663

CVSS3: 9.8
fstec
больше 3 лет назад

Уязвимость библиотеки go-getter, связанная с отсутствием мер по очистке входных данных, позволяющая нарушителю оказать воздействие на конфиденциальность, целостность и доступность защищаемой информации

EPSS

Процентиль: 24%
0.00083
Низкий

9.8 Critical

CVSS3