PT-2021-23402 · Go+6 · Go+6
Publicado
2021-11-04
·
Atualizado
2024-06-15
·
CVE-2021-41772
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H |
Nome do software vulnerável e versões afetadas
Versões do Go anteriores à 1.16.10
Versões do Go 1.17.x anteriores à 1.17.3
Descrição
A vulnerabilidade permite que ocorra um erro de pânico no
Reader.Open de um arquivo ZIP/compactado por meio de um arquivo ZIP malicioso contendo um nome inválido ou um campo de nome de arquivo vazio. Isso pode ocorrer ao abrir um arquivo ZIP com um nome composto exclusivamente por caracteres de barra ou elementos de caminho “..”, ou quando uma string vazia é passada diretamente como argumento. A função Reader.Open ignorará quaisquer arquivos no zip cujo nome não possa ser validado para fs.FS.Open, mas eles ainda estarão acessíveis por meio de (*Reader).File.Recomendações
Para versões do Go anteriores à 1.16.10, atualize para a versão 1.16.10 ou posterior para resolver o problema.
Para versões do Go 1.17.x anteriores à 1.17.3, atualize para a versão 1.17.3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere validar os campos de nome de arquivo dos arquivos ZIP antes de passá-los para a função
Reader.Open para minimizar o risco de exploração.Exploit
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Centos
Go
Red Hat
Rocky Linux
Suse