В GoLang обнаружена опасная уязвимость

В популярном языке программирования Go обнаружена уязвимость, получившая идентификатор CVE-2023-39320. Проблему выявил исследователь Juho Nurminen, а ее описание опубликовано на GitHub.

Обнаруженная уязвимость позволяет выполнять произвольный код в директиве go.mod toolchain. Из-за нее в Go 1.21 оказалось возможным исполнение скриптов и двоичных файлов относительно корня модуля при условии, что команда «go» выполнялась внутри модуля.

Уязвимости подвержены модули, загруженные с помощью данной команды с прокси-сервера. Однако актуальна она и для загруженных непосредственно с помощью программного обеспечения VCS.