PT-2020-15731 · Google+6 · Go+6

Publicado

2020-08-19

·

Atualizado

2024-06-15

·

CVE-2020-24553

CVSS v3.1

6.1

Média

VetorAV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
Nome do software vulnerável e versões afetadas
Versões 1.14.8 e anteriores do Go, e versões 1.15.x anteriores à 1.15.1
Descrição
A vulnerabilidade permite a execução de scripts entre sites (XSS), pois text/html é o valor padrão para manipuladores CGI/FCGI que não possuem um cabeçalho Content-Type. Isso pode ser explorado se um invasor conseguir controlar qualquer parte do conteúdo de uma resposta. O número estimado de dispositivos potencialmente afetados em todo o mundo não foi especificado.
Recomendações
Para as versões 1.14.8 e anteriores do Go, atualize para a versão 1.14.8 ou posterior.
Para versões do Go 1.15.x anteriores à 1.15.1, atualize para a versão 1.15.1 ou posterior.
Como solução temporária, considere definir explicitamente o cabeçalho Content-Type nos manipuladores para evitar que o padrão seja text/html.
Evite não definir explicitamente o cabeçalho Content-Type em qualquer arquivo controlado por um invasor, pois isso é inseguro e deve ser evitado.

Exploit

Correção

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-79

Identificadores relacionados

ALT-PU-2020-2608
ALT-PU-2020-2766
ALT-PU-2020-2852
ALT-PU-2021-1456
AZL-79064
BIT-GOLANG-2020-24553
CESA-2020_5493
CVE-2020-24553
GO-2021-0226
MGASA-2020-0424
OPENSUSE-SU-2020:1584-1
OPENSUSE-SU-2020:1587-1
OPENSUSE-SU-2020_1584-1
OPENSUSE-SU-2020_1587-1
OPENSUSE-SU-2024:10807-1
OPENSUSE-SU-2024:10808-1
RHSA-2020:5493
RHSA-2020_5493
RHSA-2021:0145
SUSE-SU-2020:2761-1
SUSE-SU-2020:2776-1
SUSE-SU-2020_2761-1
SUSE-SU-2020_2776-1
USN-4758-1

Produtos afetados

Alt Linux
Centos
Go
Linuxmint
Red Hat
Suse
Ubuntu