Securitymedia.org
В популярном языке программирования Go обнаружена уязвимость, получившая идентификатор CVE-2023-39320. Проблему выявил исследователь Juho Nurminen, а ее описание опубликовано на GitHub.
Обнаруженная уязвимость позволяет выполнять произвольный код в директиве go.mod toolchain. Из-за нее в Go 1.21 оказалось возможным исполнение скриптов и двоичных файлов относительно корня модуля при условии, что команда «go» выполнялась внутри модуля.
Уязвимости подвержены модули, загруженные с помощью данной команды с прокси-сервера. Однако актуальна она и для загруженных непосредственно с помощью программного обеспечения VCS.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.