リモートホストにインストールされている Golang Go のバージョンは、次の html/テンプレートの複数の脆弱性の影響を受けています。

 - 山括弧 (<>) は、CSS コンテキストに挿入しても危険な文字とはみなされません。複数のアクションを「/」で区切ったテンプレートを信頼できない入力で実行すると、CSS コンテキストが予期せず終了し、予期しない HMTL が注入される可能性があります。(CVE-2023-24539)

 - JavaScript の有効な空白文字がすべて空白文字とみなされるわけではありません。JavaScript コンテキストに他の空白文字が含まれ、アクションも含まれているテンプレートは、実行中に適切にサニタイズされない可能性があります。(CVE-2023-24540)

 - 引用符で囲まれていない HTML 属性にアクションを含むテンプレートを空の入力で実行すると、HTML 正規化ルールにより、解析時に予期しない結果となる出力が発生する可能性があります。これにより、任意の属性をタグに注入できる可能性があります。(CVE-2023-29400)

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションの自己報告されたバージョン番号にのみ依存しています。

検出

Golang < 1.19.9 / 1.20.x < 1.20.4 複数の脆弱性

critical Nessus プラグイン ID 175129

バージョン 1.1