検出

Golang 1.25.x < 1.25.8 / 1.26.x < 1.26.1 の複数の脆弱性

medium Nessus プラグイン ID 301252

Language:

概要

リモートホストにインストールされているアプリケーションは、複数の脆弱性の影響を受けます。

説明

リモートホストで実行している Golang のバージョンは、1.25.8 または 1.26.1 より前の 1.26.x です。したがって、アドバイザリに記載されている複数の脆弱性の影響を受けます。

 - Go 標準ライブラリの関数 net/url.Parse は、IP-literal の前にガベージを無視できるものとして効果的に処理することで、ホスト/権限コンポーネントの検証が不十分で、一部の無効な URL を受け入れていました。関数はこれを無効として拒否していたはずです。この動作を防ぐために、net/url.Parse は URL のホストサブコンポーネントの先頭に表示されない IPv6 リテラルを拒否するようになりました。CVE-2026-25679

 - Unix プラットフォームの os.Root に、TOCTOUtime-of-check/time-of-use競合状態が存在します。File.ReadDir および File.Readdir メソッドは、シンボリックリンク競合状態を通じて root 境界を回避できる lstat を使用して os.FileInfo をポピュレートします。攻撃者がこれを悪用し、ディレクトリコンテンツのリスティングとDirEntry.Info()の呼び出しの間のroot外部を向けるシンボリックリンクでディレクトリを置き換えることで、root外部のファイルのメタデータサイズ、変更時間、権限を取得する可能性があります。これは root 外のファイルの読み書きを許可しません。
 (CVE-2026-27139)

 - HTML メタタグのコンテンツ属性に URL を挿入するアクションはエスケープされません。これにより、メタタグに「refresh」値の http-equiv 属性もある場合に、XSS が発生する可能性があります。新しい GODEBUG 設定である htmlmetacontenturlescape が追加されました。これを使用すると、htmlmetacontenturlescape=0 を設定することで、「url=」に従うメタコンテンツ属性のアクションで、URL のエスケープを無効にできます。CVE-2026-27142

Nessus はこれらの問題をテストしておらず、代わりにアプリケーションが自己報告するバージョン番号にのみ依存していることに注意してください。

ソリューション

Golang Go バージョン 1.25.8、1.26.1 以降にアップグレードしてください。

参考資料

https://github.com/golang/go/issues/77578

https://github.com/golang/go/issues/77827

https://github.com/golang/go/issues/77954

https://groups.google.com/g/golang-announce/c/EdhZqrQ98hk

プラグインの詳細

深刻度: Medium

ID: 301252

ファイル名: golang_1_25_8_1_26_1.nasl

バージョン: 1.1

タイプ: local

エージェント: windows, macosx, unix

ファミリー: Misc.

公開日: 2026/3/6

更新日: 2026/3/6

サポートされているセンサー: Nessus Agent, Nessus

リスク情報

CVSS スコアの根本的理由: Score based on an in-depth analysis by tenable.

VPR

リスクファクター: Medium

スコア: 6.0

CVSS v3

リスクファクター: Medium

基本値: 5.4

ベクトル: CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

脆弱性情報

CPE: cpe:/a:golang:go

必要な KB アイテム: installed_sw/Golang Go Programming Language

パッチ公開日: 2026/3/5

脆弱性公開日: 2026/2/26

参照情報

CVE: CVE-2026-25679, CVE-2026-27139, CVE-2026-27142