PT-2026-2482 · Go+2 · Go+2
Ryotak
·
Publicado
2025-01-01
·
Atualizado
2026-07-09
·
CVE-2025-61731
CVSS v3.1
8.6
Alta
| Vetor | AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H |
Nome do Software Vulnerável e Versões Afetadas
cmd/go (versões afetadas não especificadas)
Descrição
Um arquivo malicioso criado utilizando cmd/go pode resultar em uma operação de escrita em um arquivo controlado por um atacante, com controle parcial sobre o conteúdo do arquivo. O problema decorre do uso da diretiva '#cgo pkg-config:' em arquivos de código-fonte Go. Esta diretiva permite que argumentos de linha de comando sejam passados para o comando pkg-config do Go. Um atacante pode explorar essa falha fornecendo um argumento '--log-file', o que faz com que o pkg-config escreva a saída em um local especificado pelo atacante.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
Exploit
DoS
Argument Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Go
Red Os
Rocky Linux