Golang 1.23.x < 1.23.11 / 1.24.x < 1.24.5 命令執行

high Nessus Plugin ID 241710

概要

遠端主機上安裝的應用程式受到一個命令執行弱點影響。

說明

遠端主機上執行的 Golang 版本為比 1.23.x 舊的 1.23.11或比 1.24.x 舊的 1.24.3。因此會受到 74380 公告中所提及的一個命令執行弱點影響。

- 在未受信任的 VCS 存放庫中使用 Go 工具鏈會導致非預期的程式碼執行。在擷取的目錄中使用 Go 時使用各種 VCS 工具 (例如直接複製 Git 或 Mercurial 存放庫) 可造成工具鏈執行未預期的命令如果所述目錄包含多個 VCS 組態中繼資料 (例如Git 存放庫)。這是因為 Go 工具鏈嘗試解析哪個 VCS 以便在二進位檔中內嵌建置資訊並判斷模組版本的方式所致。 (CVE-2025-4674)

請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。

解決方案

升級至 Golang Go 1.23.11、 1.24.5 版或更新版本。

另請參閱

https://github.com/golang/go/issues/74380

https://groups.google.com/g/golang-announce/c/gTNJnDXmn34

Plugin 詳細資訊

嚴重性: High

ID: 241710

檔案名稱: golang_1_24_5.nasl

版本: 1.2

類型: local

系列: Misc.

已發布: 2025/7/10

已更新: 2025/7/11

支援的感應器: Nessus

風險資訊

VPR

風險因素: High

分數: 7.3

CVSS v2

風險因素: High

基本分數: 7.2

媒介: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 評分資料來源: CVE-2025-4674

CVSS v3

風險因素: High

基本分數: 8.6

媒介: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

弱點資訊

CPE: cpe:/a:golang:go

必要的 KB 項目: installed_sw/Golang Go Programming Language

修補程式發佈日期: 2025/7/8

弱點發布日期: 2025/7/8

參考資訊

CVE: CVE-2025-4674

IAVB: 2025-B-0108