Golang 1.23.x < 1.23.11 / 1.24.x < 1.24.5 コマンドの実行

high Nessus プラグイン ID 241710

概要

リモートホストにインストールされているアプリケーションは、コマンド実行の脆弱性による影響を受けます。

説明

リモートホストで実行されているGolangのバージョンは、より前の 1.23.111.23.x 、 1.24.x より前の 1.24.3です。したがって、74380のアドバイザリに記載されているとおり、コマンド実行の脆弱性の影響を受けます。

- 信頼できない VCS リポジトリの Go ツールチェーンのさまざまな使用により、予期しないコードの実行が発生する可能性があります。さまざまな VCS ツールGit や Mercurial リポジトリを直接複製するなどを使用してフェッチされたディレクトリで Go ツールチェーンを使用すると、ディレクトリに複数の VCS 構成メタデータが含まれる場合、ツールチェーンは予期しないコマンドを実行することがありますGit リポジトリ。これは、ビルド情報をバイナリに埋め込み、モジュールのバージョンを判断するために、GoツールチェーンがどのVCSを使用しているかを解決しようとする方法によるものです。CVE-2025-4674

Nessus はこの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Golang Goバージョン 1.23.11、 1.24.5 以降にアップグレードしてください。

参考資料

https://github.com/golang/go/issues/74380

https://groups.google.com/g/golang-announce/c/gTNJnDXmn34

プラグインの詳細

深刻度: High

ID: 241710

ファイル名: golang_1_24_5.nasl

バージョン: 1.2

タイプ: local

ファミリー: Misc.

公開日: 2025/7/10

更新日: 2025/7/11

サポートされているセンサー: Nessus

リスク情報

VPR

リスクファクター: High

スコア: 7.3

CVSS v2

リスクファクター: High

基本値: 7.2

ベクトル: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS スコアのソース: CVE-2025-4674

CVSS v3

リスクファクター: High

基本値: 8.6

ベクトル: CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

脆弱性情報

CPE: cpe:/a:golang:go

必要な KB アイテム: installed_sw/Golang Go Programming Language

パッチ公開日: 2025/7/8

脆弱性公開日: 2025/7/8

参照情報

CVE: CVE-2025-4674

IAVB: 2025-B-0108