Vulnerabilidad en cmd/go de Go toolchain (CVE-2025-68119)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-787 Escritura fuera de límites

Fecha de publicación:

28/01/2026

Última modificación:

06/02/2026

Descripción

Descargar y construir módulos con cadenas de versión maliciosas puede causar la ejecución de código local. En sistemas con Mercurial (hg) instalado, descargar módulos de fuentes no estándar (por ejemplo, dominios personalizados) puede causar la ejecución de código inesperada debido a cómo se construyen los comandos VCS externos. Este problema también puede ser provocado al proporcionar una cadena de versión maliciosa a la cadena de herramientas. En sistemas con Git instalado, descargar y construir módulos con cadenas de versión maliciosas puede permitir a un atacante escribir en archivos arbitrarios en el sistema de archivos. Esto solo puede ser provocado al proporcionar explícitamente las cadenas de versión maliciosas a la cadena de herramientas y no afecta el uso de @latest o rutas de módulo bare.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.00 ALTA
Vector: CVSS:3.1/AV:L/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto