PT-2024-3060 · Go+10 · Html/Template+10
Ryotak
·
Publicado
2024-03-05
·
Atualizado
2026-02-26
·
CVE-2024-24785
CVSS v2.0
7.8
Alta
| Vetor | AV:N/AC:L/Au:N/C:N/I:C/A:N |
Nome do software vulnerável e versões afetadas
Versões do pacote html/template (versões afetadas não especificadas)
Descrição
O problema está relacionado à falta de validação de entradas no pacote html/template da linguagem de programação Go. Isso pode ser explorado por um invasor remoto para injetar conteúdo arbitrário em modelos. Se os erros retornados pelos métodos
MarshalJSON contiverem dados controlados pelo usuário, eles poderão ser usados para quebrar o comportamento de autoescape contextual do pacote html/template, permitindo que ações subsequentes injetem conteúdo inesperado nos modelos.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Almalinux
Astra Linux
Centos
Debian
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu
Html/Template