PT-2022-20188 · Google+2 · Go+2

Bk2204

+4

·

Publicado

2022-06-07

·

Atualizado

2026-03-06

·

CVE-2022-30580

CVSS v3.1

7.8

Alta

VetorAV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Go anteriores à 1.17.11
Versões do Go anteriores à 1.18.3
Descrição
A vulnerabilidade permite a injeção de código no Cmd.Start em os/exec, possibilitando a execução de quaisquer binários no diretório de trabalho com nomes “..com” ou “..exe” ao chamar Cmd.Run, Cmd.Start, Cmd.Output ou Cmd.CombinedOutput quando Cmd.Path não está definido. Isso ocorre no Windows.
Recomendações
Para versões do Go anteriores à 1.17.11, atualize para o Go 1.17.11 ou posterior para resolver o problema.
Para versões do Go anteriores à 1.18.3, atualize para o Go 1.18.3 ou posterior para resolver o problema.
Como solução alternativa temporária, considere definir Cmd.Path para um executável específico a fim de evitar a execução não intencional de binários no diretório de trabalho.

Correção

Code Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-94

Identificadores relacionados

ALT-PU-2022-2036
ALT-PU-2022-2041
ALT-PU-2022-2873
ALT-PU-2023-1205
AZL-10532
AZL-79108
BIT-GOLANG-2022-30580
CVE-2022-30580
GO-2022-0532
OPENSUSE-SU-2022_2004-1
OPENSUSE-SU-2022_2005-1
OPENSUSE-SU-2024:12123-1
OPENSUSE-SU-2024:12124-1
SUSE-SU-2022:2004-1
SUSE-SU-2022:2005-1
SUSE-SU-2023:2312-1

Produtos afetados

Alt Linux
Go
Suse