漏洞描述
golang 的组件net/url实现了URL的解析处理和查询转义。
golang net/ur存在路径穿越漏洞,漏洞源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 …/ 元素,攻击者可能利用该漏洞访问系统敏感文件。
该漏洞已存在 POC。
漏洞名称 | golang net/url 路径穿越漏洞 |
---|---|
漏洞类型 | 路径遍历 |
发现时间 | 2022/9/13 |
漏洞影响广度 | 广 |
MPS编号 | MPS-2022-17132 |
CVE编号 | CVE-2022-32190 |
CNVD编号 | - |
影响范围
net/url@[1.19, 1.19.1)
net/url@[1, 1.18.6)
修复方案
升级golang到 1.18.6,1.19.1 或更高版本