CVE-2022-26945

HashiCorp go-getter versões 1.5.11 e anteriores

HashiCorp go-getter versões 2.0.2 e anteriores

A vulnerabilidade está relacionada à falta de sanitização de dados de entrada na biblioteca go-getter, o que pode ser explorado por um invasor remoto para comprometer a confidencialidade, integridade e disponibilidade de informações protegidas. Respostas HTTP maliciosas podem causar vários comportamentos indesejados, incluindo a sobrescrita de arquivos locais, esgotamento de recursos e erros graves. Especificamente, a troca de protocolo, o redirecionamento infinito e a contornagem de configuração são possíveis por meio do abuso do processamento de cabeçalhos de resposta HTTP personalizados. Além disso, o acesso arbitrário ao host é possível por meio de falhas de traversal de caminho, processamento de links simbólicos e injeção de comando no go-getter. O esgotamento assimétrico de recursos pode ocorrer quando o go-getter processa respostas HTTP maliciosas.

Para as versões 1.5.11 e anteriores do HashiCorp go-getter, atualize para a versão 1.6.1 ou posterior.

Para as versões 2.0.2 e anteriores do HashiCorp go-getter, atualize para a versão 2.1.0 ou posterior.

Como solução temporária, considere restringir o acesso à biblioteca go-getter até que um patch seja aplicado.

Evite usar a biblioteca go-getter para processar respostas HTTP maliciosas ou arquivos ZIP protegidos por senha até que o problema seja resolvido.