V
Сканер-ВС
ENRU
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
К каталогу
CVE-2023-24538
DEB
Критический

Шаблоны неправильно рассматривают обратные апострофы (`) как разделители строк в JavaScript и не экранируют их должным образом. Обратные ап…

CVSS
9.8
Критический
EPSS
0.02
p80
Опубликовано
2023-01-01
Обновлено
2023-01-01
Описание

Шаблоны неправильно рассматривают обратные апострофы (`) как разделители строк в JavaScript и не экранируют их должным образом. Обратные апострофы используются с ES6 для шаблонных литералов JS. Если шаблон содержит действие шаблона Go внутри шаблонного литерала JavaScript, то содержимое действия может быть использовано для завершения литерала, внедряя произвольный код JavaScript в шаблон Go. Поскольку шаблонные литералы ES6 довольно сложны и могут выполнять интерполяцию строк, было принято решение просто запретить действия шаблона Go внутри них (например, "var a = {{.}}"), поскольку нет очевидно безопасного способа позволить такое поведение. Это принимает тот же подход, что и github.com/google/safehtml. С исправлением Template.Parse возвращает ошибку, когда встречает такие шаблоны, с кодом ошибки 12. Этот код ошибки в настоящее время не экспортируется, но будет экспортирован в версии Go 1.21. Пользователи, полагающиеся на предыдущее поведение, могут повторно включить его, используя флаг GODEBUG jstmpllitinterp=1, с оговоркой, что обратные апострофы теперь будут экранированы. Это следует использовать с осторожностью.

Теги · CWE
Без аутентификации
CWE-94
CAPEC-35
CAPEC-77
CAPEC-242
Затронутые продукты
NetworkmanagerBuildahBuildahCollectd-libpod-statsConmonConmonContainer-toolsContainernetworking-pluginsCri-oCri-oCri-toolsEtcdGo-toolset-1.19-golangGolangGolang-1.10Golang-1.10Golang-1.10Golang-1.11Golang-1.11Golang-1.13
Вектор CVSS
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Хронология
2023-01-01
Опубликована
2023-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Область воздействия
S: U
Неизменная (U)
Воздействие на конфиденциальность
C: H
Высокое (H)
Воздействие на целостность
I: H
Высокое (H)
Воздействие на доступность
A: H
Высокое (H)
Индикаторы эксплуатации
EPSS
0.023 · p80
Известна эксплуатация (KEV)
Нет
MITRE ATT&CK
Выводимые через CAPEC
└ через CAPEC-35 · CWE-94
└ через CAPEC-35 · CWE-94
└ через CAPEC-35 · CWE-94
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
Debian
Golang-1.15Golang-1.19Golang-1.11Golang-1.20
Canonical
Golang-1.13Golang-1.8Golang-1.16Golang-1.6Golang-1.14Golang-1.9Golang-1.18Golang-1.10Golang-1.17Golang-1.20+1
Red Hat
KernelKernel-rtOpenshiftOpenshift-ansibleGolangCri-oPython-flaskPodmanOpenshift-clientsBuildah+14
Golang
Go
ПродуктВендорСтатус
NetworkManagerОтслеживается
buildahОтслеживается
buildahОтслеживается
collectd-libpod-statsОтслеживается
conmonОтслеживается
conmonОтслеживается
container-toolsОтслеживается
containernetworking-pluginsОтслеживается
cri-oОтслеживается
cri-oОтслеживается
cri-toolsОтслеживается
etcdОтслеживается
go-toolset-1.19-golangОтслеживается
golangОтслеживается
golang-1.10Отслеживается
golang-1.10Отслеживается
golang-1.10Отслеживается
golang-1.11Отслеживается
golang-1.11Отслеживается
golang-1.13Отслеживается
Показаны первые 20 из 83
Источники данных
DEB
CVE
RED
UBU
Связанные уязвимости
BDU:2024-01979