ALT-PU-2025-10791-3

BDU:2025-02476

MEDIUM4.4

Уязвимость пакетов net/http, x/net/proxy и x/net/http/httpproxy языка программирования Go, позволяющая нарушителю оказать воздействие на конфиденциальность и доступность защищаемой информации

Published: 2025-07-01Modified: 2026-04-19

CVSS 3.xMEDIUM 4.4

CVSS:3.x/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

CVSS 2.0LOW 3.2

CVSS:2.0/AV:L/AC:L/Au:S/C:P/I:N/A:P

References

CVE-2025-22870

BDU:2025-03456

MEDIUM4.0

Уязвимость компонента crypto-elliptic языка программирования Golang, позволяющая нарушителю получить доступ к конфиденциальной информации

Published: 2025-03-26Modified: 2026-03-03

CVSS 3.xMEDIUM 4.0

CVSS:3.x/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

CVSS 2.0LOW 2.1

CVSS:2.0/AV:L/AC:L/Au:N/C:P/I:N/A:N

References

CVE-2025-22866

BDU:2025-04014

CRITICAL9.1

Уязвимость пакета net/http языка программирования Go, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнить произвольный код

Published: 2025-04-08Modified: 2025-11-18

CVSS 3.xCRITICAL 9.1

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

CVSS 2.0CRITICAL 9.4

CVSS:2.0/AV:N/AC:L/Au:N/C:C/I:C/A:N

References

CVE-2025-22871

BDU:2025-07316

MEDIUM4.4

Уязвимость языка программирования Golang, связанная с неверным ограничением имени пути к каталогу с ограниченным доступом, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации

Published: 2025-06-22Modified: 2026-03-19

CVSS 3.xMEDIUM 4.4

CVSS:3.x/AV:L/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:N

CVSS 2.0LOW 3.6

CVSS:2.0/AV:L/AC:L/Au:N/C:P/I:P/A:N

References

CVE-2025-22873

BDU:2025-08556

HIGH7.5

Уязвимость компонента Verify языка программирования Go, позволяющая нарушителю обойти существующие ограничения безопасности

Published: 2025-07-15Modified: 2026-04-16

CVSS 3.xHIGH 7.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

CVSS 2.0HIGH 7.8

CVSS:2.0/AV:N/AC:L/Au:N/C:N/I:C/A:N

References

CVE-2025-22874

BDU:2025-08599

MEDIUM6.8

Уязвимость языка программирования Golang, связанная с недостаточной защитой служебных данных, позволяющая нарушителю получить доступ к потенциально конфиденциальной информации

Published: 2025-07-16Modified: 2026-04-19

CVSS 3.xMEDIUM 6.8

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N

CVSS 2.0MEDIUM 5.4

CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:N/A:N

References

CVE-2025-4673

BDU:2025-08600

MEDIUM5.5

Уязвимость языка программирования Golang, связанная с неверным определением символических ссылок перед доступом к файлу, позволяющая нарушителю повысить привилегии в системе

Published: 2025-07-16Modified: 2026-03-19

CVSS 3.xMEDIUM 5.5

CVSS:3.x/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

CVSS 2.0MEDIUM 4.6

CVSS:2.0/AV:L/AC:L/Au:S/C:N/I:C/A:N

References

CVE-2025-0913

BDU:2025-09875

HIGH8.6

Уязвимость языка программирования Golang, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольный код

Published: 2025-08-17

CVSS 3.xHIGH 8.6

CVSS:3.x/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

CVSS 2.0HIGH 7.2

CVSS:2.0/AV:L/AC:L/Au:N/C:C/I:C/A:C

References

CVE-2025-4674

BDU:2025-10834

HIGH7.0

Уязвимость языка программирования Go, связанная с ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю вызвать отказ в обслуживании

Published: 2025-09-07Modified: 2026-03-19

CVSS 3.xHIGH 7.0

CVSS:3.x/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L

CVSS 2.0MEDIUM 6.6

CVSS:2.0/AV:N/AC:H/Au:N/C:C/I:P/A:P

References

CVE-2025-47907

BDU:2025-11595

MEDIUM6.5

Уязвимость языка программирования Go, связанная с неправильной проверкой входных данных, позволяющая нарушителю повысить свои привилегии

Published: 2025-09-23Modified: 2026-02-16

CVSS 3.xMEDIUM 6.5

CVSS:3.x/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

CVSS 2.0MEDIUM 6.4

CVSS:2.0/AV:N/AC:L/Au:N/C:P/I:N/A:P

References

CVE-2025-47906

CVE-2025-0913

MEDIUM5.5

os.OpenFile(path, os.O_CREATE|O_EXCL) behaved differently on Unix and Windows systems when the target path was a dangling symlink. On Unix systems, OpenFile with O_CREATE and O_EXCL flags never follows symlinks. On Windows, when the target path was a symlink to a nonexistent location, OpenFile would create a file in that location. OpenFile now always returns an error when the O_CREATE and O_EXCL flags are both set and the target path is a symlink.

Published: 2025-06-11Modified: 2025-08-08

CVSS 3.xMEDIUM 5.5

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N

References

CVE-2025-22866

MEDIUM4.0

Due to the usage of a variable time instruction in the assembly implementation of an internal function, a small number of bits of secret scalars are leaked on the ppc64le architecture. Due to the way this function is used, we do not believe this leakage is enough to allow recovery of the private key when P-256 is used in any well known protocols.

Published: 2025-02-06Modified: 2026-04-14

CVSS 3.xMEDIUM 4.0

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

References

CVE-2025-22870

MEDIUM4.4

Matching of hosts against proxy patterns can improperly treat an IPv6 zone ID as a hostname component. For example, when the NO_PROXY environment variable is set to "*.example.com", a request to "[::1%25.example.com]:80` will incorrectly match and not be proxied.

Published: 2025-03-12Modified: 2026-04-16

CVSS 3.xMEDIUM 4.4

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

References

CVE-2025-22871

CRITICAL9.1

The net/http package improperly accepts a bare LF as a line terminator in chunked data chunk-size lines. This can permit request smuggling if a net/http server is used in conjunction with a server that incorrectly accepts a bare LF as part of a chunk-ext.

Published: 2025-04-08Modified: 2026-05-12

CVSS 3.xCRITICAL 9.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

References

CVE-2025-22873

LOW3.8

It was possible to improperly access the parent directory of an os.Root by opening a filename ending in "../". For example, Root.Open("../") would open the parent directory of the Root. This escape only permits opening the parent directory itself, not ancestors of the parent or files contained within the parent.

Published: 2026-02-04Modified: 2026-02-10

CVSS 3.xLOW 3.8

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:L/I:N/A:N

References

CVE-2025-22874

HIGH7.5

Calling Verify with a VerifyOptions.KeyUsages that contains ExtKeyUsageAny unintentionally disabledpolicy validation. This only affected certificate chains which contain policy graphs, which are rather uncommon.

Published: 2025-06-11Modified: 2026-04-14

CVSS 3.xHIGH 7.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N

References

CVE-2025-4673

MEDIUM6.8

Proxy-Authorization and Proxy-Authenticate headers persisted on cross-origin redirects potentially leaking sensitive information.

Published: 2025-06-11Modified: 2026-04-14

CVSS 3.xMEDIUM 6.8

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:N/A:N

References

CVE-2025-4674

HIGH8.6

The go command may execute unexpected commands when operating in untrusted VCS repositories. This occurs when possibly dangerous VCS configuration is present in repositories. This can happen when a repository was fetched via one VCS (e.g. Git), but contains metadata for another VCS (e.g. Mercurial). Modules which are retrieved using the go command line, i.e. via "go get", are not affected.

Published: 2025-07-29Modified: 2026-01-29

CVSS 3.xHIGH 8.6

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:H

References

CVE-2025-47906

MEDIUM6.5

If the PATH environment variable contains paths which are executables (rather than just directories), passing certain strings to LookPath ("", ".", and ".."), can result in the binaries listed in the PATH being unexpectedly returned.

Published: 2025-09-18Modified: 2026-01-27

CVSS 3.xMEDIUM 6.5

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

References

CVE-2025-47907

HIGH7.0

Cancelling a query (e.g. by cancelling the context passed to one of the query methods) during a call to the Scan method of the returned Rows can result in unexpected results if other queries are being made in parallel. This can result in a race condition that may overwrite the expected results with those of another query, causing the call to Scan to return either unexpected results from the other query or an error.

Published: 2025-08-07Modified: 2026-01-29

CVSS 3.xHIGH 7.0

CVSS:3.x/CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:L/A:L

References

GHSA-5423-jcjm-2gpv

CRITICAL9.1

Traefik affected by Go HTTP Request Smuggling Vulnerability

Published: 2025-04-18

CVSS 3.xCRITICAL 9.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

References

GHSA-6jqf-mv7m-3q7p

CRITICAL9.1

File Browser has risk of HTTP Request/Response smuggling through vulnerable dependency

Published: 2025-11-13Modified: 2025-11-17

CVSS 3.xCRITICAL 9.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

References

GHSA-g9pc-8g42-g6vq

CRITICAL9.1

RoadRunner is at risk of HTTP Request/Response Smuggling through vulnerable dependency

Published: 2025-04-08Modified: 2026-05-13

CVSS 3.xCRITICAL 9.1

CVSS:3.x/CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

References

GHSA-qxp5-gwg8-xv66

MEDIUM4.4

HTTP Proxy bypass using IPv6 Zone IDs in golang.org/x/net

Published: 2025-03-12Modified: 2026-04-24

CVSS 3.xMEDIUM 4.4

CVSS:3.x/CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:L

References

Package update golang in branch p10

Closed issues (24)

Уязвимость компонента crypto-elliptic языка программирования Golang, позволяющая нарушителю получить доступ к конфиденциальной информации

Уязвимость пакета net/http языка программирования Go, связанная с недостатками обработки HTTP-запросов, позволяющая нарушителю выполнить произвольный код

Уязвимость компонента Verify языка программирования Go, позволяющая нарушителю обойти существующие ограничения безопасности

Уязвимость языка программирования Golang, связанная с некорректным внешним управлением именем или путем файла, позволяющая нарушителю выполнить произвольный код

Уязвимость языка программирования Go, связанная с ошибками синхронизации при использовании общего ресурса, позволяющая нарушителю вызвать отказ в обслуживании

Уязвимость языка программирования Go, связанная с неправильной проверкой входных данных, позволяющая нарушителю повысить свои привилегии

Matching of hosts against proxy patterns can improperly treat an IPv6 zone ID as a hostname component. For example, when the NO_PROXY environment variable is set to "*.example.com", a request to "[::1%25.example.com]:80` will incorrectly match and not be proxied.

The net/http package improperly accepts a bare LF as a line terminator in chunked data chunk-size lines. This can permit request smuggling if a net/http server is used in conjunction with a server that incorrectly accepts a bare LF as part of a chunk-ext.

Calling Verify with a VerifyOptions.KeyUsages that contains ExtKeyUsageAny unintentionally disabledpolicy validation. This only affected certificate chains which contain policy graphs, which are rather uncommon.

Proxy-Authorization and Proxy-Authenticate headers persisted on cross-origin redirects potentially leaking sensitive information.

If the PATH environment variable contains paths which are executables (rather than just directories), passing certain strings to LookPath ("", ".", and ".."), can result in the binaries listed in the PATH being unexpectedly returned.

Traefik affected by Go HTTP Request Smuggling Vulnerability

File Browser has risk of HTTP Request/Response smuggling through vulnerable dependency

RoadRunner is at risk of HTTP Request/Response Smuggling through vulnerable dependency

HTTP Proxy bypass using IPv6 Zone IDs in golang.org/x/net

Closed bugs (1)

Убрать node из зависимостей пакета golang