CVE-2020-28366

Arbitrary code execution in go command with cgo in cmd/go and cmd/cgo

EPSS 2.2%

Vexday Risk Score

3Bajo

Decisión SSVC (CISA)

Track

Sin señal de explotación → monitorear

CVSS —EPSS 2.2%KEV nãoPoC —Nuclei —Metasploit —Patch —

Ciclo de vida

18 nov 2020Publicada en NVD

Recomendación: Monitorear — sin señal de explotación por ahora.

Code injection in the go command with cgo before Go 1.14.12 and Go 1.15.5 allows arbitrary code execution at build time via a malicious unquoted symbol name in a linked object file.

Productos afectados

Go toolchain · cmd/cgo Go toolchain · cmd/go

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://go.dev/cl/269658 https://go.dev/issue/42559 https://go.googlesource.com/go/+/062e0e5ce6df339dc26732438ad771f73dbf2292 https://groups.google.com/g/golang-announce/c/NpBGTTmKzpM https://pkg.go.dev/vuln/GO-2022-0475