PT-2025-5843 · Go+1 · Go+1

Juho Forsén

·

Publicado

2025-02-06

·

Atualizado

2025-03-07

·

CVE-2025-22867

CVSS v3.1

7.5

Alta

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas: versões do Go 1.24rc2
Descrição: O problema está relacionado à compilação de um módulo Go que contém CGO no Darwin. Pode desencadear execução arbitrária de código ao utilizar a versão do ld da Apple. Isso se deve ao uso de valores especiais @executable path, @loader path ou @rpath em uma diretiva "#cgo LDFLAGS".
Recomendações: Para a versão do Go 1.24rc2, considere evitar o uso da versão do ld da Apple ou abster-se de usar os valores especiais @executable path, @loader path ou @rpath na diretiva "#cgo LDFLAGS" até que uma correção esteja disponível. Como medida temporária, considere desativar a funcionalidade CGO no módulo Go para prevenir potencial execução arbitrária de código.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Identificadores relacionados

BIT-GOLANG-2025-22867
CVE-2025-22867
ECHO-D085-1C12-AA45
GO-2025-3428
OPENSUSE-SU-2025:14735-1
OPENSUSE-SU-2025:14754-1
OPENSUSE-SU-2025_0429-1
OPENSUSE-SU-2025_0431-1
SUSE-SU-2025:0429-1
SUSE-SU-2025:0431-1
SUSE-SU-2025_0431-1

Produtos afetados

Suse
Go