| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 4.4 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine problematische Schwachstelle in html-template bis 1.21.7/1.22.0 für Go gefunden. Betroffen ist die Funktion MarshalJSON. Mittels dem Manipulieren mit unbekannten Daten kann eine unbekannte Schwachstelle ausgenutzt werden.
Die Verwundbarkeit wird als CVE-2024-24785 geführt. Es ist kein Exploit verfügbar.
Es wird empfohlen, die betroffene Komponente zu aktualisieren.
Details
Es wurde eine problematische Schwachstelle in html-template bis 1.21.7/1.22.0 auf Go ausgemacht. Im Rahmen von CWE wurde eine Klassifizierung als CWE-707 vorgenommen. Es ist nicht genau bekannt, welche Auswirkungen ein erfolgreicher Angriff haben wird. CVE fasst zusammen:
If errors returned from MarshalJSON methods contain user controlled data, they may be used to break the contextual auto-escaping behavior of the html/template package, allowing for subsequent actions to inject unexpected content into templates.Die Schwachstelle wurde am 06.03.2024 publik gemacht. Die Verwundbarkeit wird seit dem 30.01.2024 unter CVE-2024-24785 geführt. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 208702 (Ubuntu 22.04 LTS : Go vulnerabilities (USN-7061-1)) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 1.21.8 oder 1.22.1 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (208702) und CERT Bund (WID-SEC-2024-0560) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Betroffen
- Amazon Linux 2
- Red Hat Enterprise Linux
- Ubuntu Linux
- SUSE Linux
- Oracle Linux
- Gentoo Linux
- Xerox FreeFlow Print Server
- RESF Rocky Linux
- Golang Go
- IBM Spectrum Protect Plus
Produkt
Name
Version
- 1.0
- 1.1
- 1.2
- 1.3
- 1.4
- 1.5
- 1.6
- 1.7
- 1.8
- 1.9
- 1.10
- 1.11
- 1.12
- 1.13
- 1.14
- 1.15
- 1.16
- 1.17
- 1.18
- 1.19
- 1.20
- 1.21
- 1.21.0
- 1.21.1
- 1.21.2
- 1.21.3
- 1.21.4
- 1.21.5
- 1.21.6
- 1.21.7
- 1.22.0
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔍VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 4.4VulDB Meta Temp Score: 4.4
VulDB Base Score: 3.5
VulDB Temp Score: 3.4
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍
ADP CISA Base Score: 5.4
ADP CISA Vector: 🔍
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: UnbekanntCWE: CWE-707 / CWE-20
CAPEC: 🔍
ATT&CK: 🔍
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔍
Status: Nicht definiert
EPSS Score: 🔍
EPSS Percentile: 🔍
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 208702
Nessus Name: Ubuntu 22.04 LTS : Go vulnerabilities (USN-7061-1)
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔍
Upgrade: html-template 1.21.8/1.22.1
Timeline
30.01.2024 🔍06.03.2024 🔍
06.03.2024 🔍
15.04.2026 🔍
Quellen
Status: BestätigtCVE: CVE-2024-24785 (🔍)
GCVE (CVE): GCVE-0-2024-24785
GCVE (VulDB): GCVE-100-255840
CERT Bund: WID-SEC-2024-0560 - Golang Go: Mehrere Schwachstellen
Eintrag
Erstellt: 06.03.2024 06:59Aktualisierung: 15.04.2026 20:19
Anpassungen: 06.03.2024 06:59 (38), 11.10.2024 00:53 (17), 14.03.2025 04:07 (1), 26.02.2026 16:35 (7), 15.04.2026 20:19 (11)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.