PT-2025-2689 · Google+11 · Google Go+11
Kyle Seely
·
Publicado
2025-01-16
·
Atualizado
2026-02-18
·
CVE-2024-45336
CVSS v2.0
6.4
Média
| Vetor | AV:N/AC:L/Au:N/C:P/I:P/A:N |
Nome do Software Vulnerável e Versões Afetadas
Versões do Google Go anteriores a 1.22.10 e 1.23.4
Descrição
O cliente HTTP descarta cabeçalhos sensíveis após seguir um redirecionamento entre domínios. Por exemplo, uma requisição para a.com/ contendo um cabeçalho
Authorization que é redirecionada para b.com/ não enviará esse cabeçalho para b.com. No entanto, caso o cliente receba um redirecionamento subsequente no mesmo domínio, os cabeçalhos sensíveis seriam restaurados. Por exemplo, uma cadeia de redirecionamentos de a.com/, para b.com/1, e finalmente para b.com/2 enviaria incorretamente o cabeçalho Authorization para b.com/2.Recomendações
Para versões do Google Go anteriores a 1.22.10, atualize para a versão 1.22.10 ou posterior para resolver o problema.
Para versões do Google Go anteriores a 1.23.4, atualize para a versão 1.23.4 ou posterior para resolver o problema.
Como solução temporária, considere restringir o uso de redirecionamentos entre domínios para minimizar o risco de exploração.
Correção
Information Disclosure
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Google Go
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu