PT-2025-2692 · Google+11 · Go+11
Juho Forsén
·
Publicado
2025-01-16
·
Atualizado
2026-01-30
·
CVE-2024-45341
CVSS v3.1
9.8
Crítica
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
Versões do Google Go até 1.22.10/1.23.4
Descrição
Um certificado com um URI que contém um endereço IPv6 com um ID de zona pode satisfazer incorretamente uma restrição de nome URI aplicável à cadeia de certificados. Certificados contendo URIs não são permitidos na PKI web, portanto, isso afeta apenas usuários de PKIs privadas que utilizam URIs.
Recomendações
Para versões do Google Go até 1.22.10/1.23.4, atualize para uma versão posterior a 1.22.10/1.23.4 para resolver o problema. Como medida de contorno temporária, considere restringir o uso de certificados com URIs em PKIs privadas até que um patch esteja disponível. Evite usar endereços IPv6 com IDs de zona em URIs para validação de certificados.
Correção
RCE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Almalinux
Astra Linux
Centos
Debian
Go
Linuxmint
Red Hat
Red Os
Rocky Linux
Suse
Ubuntu