Vulnerabilidad en Go (CVE-2023-24531)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
02/07/2024
Última modificación:
28/03/2025
Descripción
Está documentado que el comando go env genera un script de shell que contiene el entorno Go. Sin embargo, go env no sanitiza los valores, por lo que ejecutar su salida como un script de shell puede causar varios malos comportamientos, incluida la ejecución de comandos arbitrarios o la inserción de nuevas variables de entorno. Este problema es relativamente menor porque, en general, si un atacante puede establecer variables de entorno arbitrarias en un sistema, tiene mejores vectores de ataque que hacer que "go env" las imprima.
Impacto
Puntuación base 3.x
9.80
Gravedad 3.x
CRÍTICA
Referencias a soluciones, herramientas e información
- https://go.dev/cl/488375
- https://go.dev/cl/493535
- https://go.dev/issue/58508
- https://groups.google.com/g/golang-dev/c/ixHOFpSbajE/m/8EjlbKVWAwAJ
- https://pkg.go.dev/vuln/GO-2024-2962
- https://go.dev/cl/488375
- https://go.dev/cl/493535
- https://go.dev/issue/58508
- https://groups.google.com/g/golang-dev/c/ixHOFpSbajE/m/8EjlbKVWAwAJ
- https://pkg.go.dev/vuln/GO-2024-2962
- https://security.netapp.com/advisory/ntap-20250328-0005/