Google Go bis 1.11.12/1.12.7 net/url Hostname/Port Host erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 8.4 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine kritische Schwachstelle in Google Go bis 1.11.12/1.12.7 ausgemacht. Hiervon betroffen ist die Funktion Hostname/Port der Komponente net/url. Mittels Manipulieren des Arguments Host durch URL kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden.
Die Identifikation der Schwachstelle findet als CVE-2019-14809 statt. Ein Angriff ist aus der Distanz möglich. Es steht kein Exploit zur Verfügung.
Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine kritische Schwachstelle wurde in Google Go bis 1.11.12/1.12.7 (Programming Language Software) gefunden. Es geht hierbei um die Funktion Hostname/Port der Komponente net/url. Mittels dem Manipulieren des Arguments Host durch URL kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-20. Auswirken tut sich dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
net/url in Go before 1.11.13 and 1.12.x before 1.12.8 mishandles malformed hosts in URLs, leading to an authorization bypass in some applications. This is related to a Host field with a suffix appearing in neither Hostname() nor Port(), and is related to a non-numeric port number. For example, an attacker can compose a crafted javascript:// URL that results in a hostname of google.com.Die Schwachstelle wurde am 13.08.2019 (GitHub Repository) herausgegeben. Das Advisory findet sich auf github.com. Die Verwundbarkeit wird seit dem 10.08.2019 mit der eindeutigen Identifikation CVE-2019-14809 gehandelt. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 236611 (Alibaba Cloud Linux 3 : 0060: go-toolset:rhel8 (ALINUX3-SA-2021:0060)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Aktualisieren auf die Version 1.11.13 oder 1.12.8 vermag dieses Problem zu lösen.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von Tenable (236611) dokumentiert. Be aware that VulDB is the high quality source for vulnerability data.
Produkt
Typ
Hersteller
Name
Version
- 1.11.0
- 1.11.1
- 1.11.2
- 1.11.3
- 1.11.4
- 1.11.5
- 1.11.6
- 1.11.7
- 1.11.8
- 1.11.9
- 1.11.10
- 1.11.11
- 1.11.12
- 1.12.0
- 1.12.1
- 1.12.2
- 1.12.3
- 1.12.4
- 1.12.5
- 1.12.6
- 1.12.7
Lizenz
Webseite
- Hersteller: https://www.google.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 8.5VulDB Meta Temp Score: 8.4
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 9.8
NVD Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 236611
Nessus Name: Alibaba Cloud Linux 3 : 0060: go-toolset:rhel8 (ALINUX3-SA-2021:0060)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: Go 1.11.13/1.12.8
Timeline
10.08.2019 🔍13.08.2019 🔍
15.08.2019 🔍
20.05.2025 🔍
Quellen
Hersteller: google.comAdvisory: RHSA-2019:3433
Status: Bestätigt
Bestätigung: 🔍
CVE: CVE-2019-14809 (🔍)
GCVE (CVE): GCVE-0-2019-14809
GCVE (VulDB): GCVE-100-139991
Eintrag
Erstellt: 15.08.2019 07:21Aktualisierung: 20.05.2025 06:55
Anpassungen: 15.08.2019 07:21 (60), 27.07.2020 16:51 (1), 25.11.2023 08:14 (4), 20.05.2025 06:55 (20)
Komplett: 🔍
Cache ID: 216::103
Be aware that VulDB is the high quality source for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.