PT-2022-19839 · Go+2 · Go+2

Unrud

·

Publicado

2022-06-07

·

Atualizado

2024-06-15

·

CVE-2022-29804

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Nome do software vulnerável e versões afetadas
Versões do Go anteriores à 1.17.11
Versões do Go anteriores à 1.18.3
Descrição
O problema diz respeito à conversão incorreta de certos caminhos inválidos em caminhos absolutos válidos na função filepath.Clean no Windows, o que pode permitir um ataque de traversal de diretório. Por exemplo, a função Clean pode converter um caminho inválido como .c: em um caminho absoluto válido c:.
Recomendações
Para versões do Go anteriores à 1.17.11, atualize para a versão 1.17.11 ou posterior para resolver o problema.
Para versões do Go anteriores à 1.18.3, atualize para a versão 1.18.3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere restringir o uso da função filepath.Clean em sistemas Windows até que um patch seja aplicado.

Exploit

Correção

Path traversal

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-22

Identificadores relacionados

ALT-PU-2022-2036
ALT-PU-2022-2041
ALT-PU-2022-2873
ALT-PU-2023-1205
AZL-79118
BIT-GOLANG-2022-29804
CVE-2022-29804
GO-2022-0533
OESA-2022-1857
OPENSUSE-SU-2022_2004-1
OPENSUSE-SU-2022_2005-1
OPENSUSE-SU-2024:12123-1
OPENSUSE-SU-2024:12124-1
SUSE-SU-2022:2004-1
SUSE-SU-2022:2005-1
SUSE-SU-2022_2004-1
SUSE-SU-2022_2005-1
SUSE-SU-2023:2312-1

Produtos afetados

Alt Linux
Go
Suse