PT-2021-2196 · Google+6 · Go+6

Ryotak

·

Publicado

2021-01-20

·

Atualizado

2024-06-15

·

CVE-2021-3115

CVSS v2.0

7.6

Alta

VetorAV:N/AC:H/Au:N/C:C/I:C/A:C
**Nome do software vulnerável e versões afetadas:
Versões do Go anteriores à 1.14.14
Versões do Go 1.15.x anteriores à 1.15.7
Descrição:
O problema está relacionado ao gerenciamento incorreto da geração de código na linguagem de programação Go, especificamente com o uso do comando go get para buscar módulos que utilizam cgo. Isso pode levar à injeção de comando e à execução remota de código, permitindo que um invasor remoto execute código arbitrário. A vulnerabilidade é acionada quando o comando go get é usado para buscar módulos maliciosos ou quando o código é compilado, potencialmente executando um programa gcc a partir de um download não confiável.
Recomendações:
Para versões do Go anteriores à 1.14.14, atualize para a versão 1.14.14 ou posterior para resolver o problema.
Para versões do Go 1.15.x anteriores à 1.15.7, atualize para a versão 1.15.7 ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso do comando go get com cgo até que um patch seja aplicado.

Correção

RCE

Code Injection

Uncontrolled Search Path Element

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94CWE-427

Identificadores relacionados

ALT-PU-2021-1090
ALT-PU-2021-1111
ALT-PU-2021-1138
ALT-PU-2021-1456
ALT-PU-2021-1941
AZL-38572
BDU:2021-01105
BIT-GOLANG-2021-3115
CESA-2021_1746
CVE-2021-3115
GO-2021-0068
OPENSUSE-SU-2021:0190-1
OPENSUSE-SU-2021:0192-1
OPENSUSE-SU-2021:0194-1
OPENSUSE-SU-2021_0190-1
OPENSUSE-SU-2021_0192-1
OPENSUSE-SU-2021_0194-1
OPENSUSE-SU-2024:10807-1
OPENSUSE-SU-2024:10808-1
RHSA-2021:1339
RHSA-2021:1746
RHSA-2021:2095
RHSA-2021_1746
RLSA-2021:1746
SUSE-SU-2021:0222-1
SUSE-SU-2021:0223-1

Produtos afetados

Alt Linux
Astra Linux
Centos
Go
Red Hat
Rocky Linux
Suse