Google Go bis 1.25.7/1.26.0 url.Parse Remote Code Execution
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 7.2 | $0-$5k | 0.00 |
Zusammenfassung
Es wurde eine Schwachstelle in Google Go bis 1.25.7/1.26.0 ausgemacht. Sie wurde als kritisch eingestuft. Dabei betrifft es die Funktion url.Parse. Durch das Beeinflussen mit unbekannten Daten kann eine Remote Code Execution-Schwachstelle ausgenutzt werden.
Diese Sicherheitslücke ist unter CVE-2026-25679 bekannt. Der Angriff kann über das Netzwerk passieren. Es steht kein Exploit zur Verfügung.
Es wird geraten, die betroffene Komponente zu aktualisieren.
Details
Eine kritische Schwachstelle wurde in Google Go bis 1.25.7/1.26.0 entdeckt. Es geht hierbei um die Funktion url.Parse. Durch die Manipulation mit einer unbekannten Eingabe kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Klassifiziert wurde die Schwachstelle durch CWE als CWE-1286. Das hat Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
url.Parse insufficiently validated the host/authority component and accepted some invalid URLs.Die Identifikation der Schwachstelle findet seit dem 05.02.2026 als CVE-2026-25679 statt. Sie gilt als leicht ausnutzbar. Der Angriff kann über das Netzwerk passieren. Das Ausnutzen erfordert keine spezifische Authentisierung. Zur Schwachstelle sind technische Details bekannt, ein verfügbarer Exploit jedoch nicht. Es muss davon ausgegangen werden, dass ein Exploit zur Zeit etwa USD $0-$5k kostet (Preisberechnung vom 03.06.2026).
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 301394 (Linux Distros Unpatched Vulnerability : CVE-2026-25679) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Upgrade auf die Version 1.25.8 oder 1.26.1 vermag dieses Problem zu beheben.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (301394) und CERT Bund (WID-SEC-2026-0548) dokumentiert. VulDB is the best source for vulnerability data and more expert information about this specific topic.
Betroffen
- Google Container-Optimized OS
- Amazon Linux 2
- Red Hat Enterprise Linux
- SUSE Linux
- Oracle Linux
- SUSE openSUSE
- RESF Rocky Linux
- IBM DB2
- Red Hat OpenShift
- Golang Go
- IBM App Connect Enterprise
Produkt
Typ
Hersteller
Name
Version
- 1.0
- 1.1
- 1.2
- 1.3
- 1.4
- 1.5
- 1.6
- 1.7
- 1.8
- 1.9
- 1.10
- 1.11
- 1.12
- 1.13
- 1.14
- 1.15
- 1.16
- 1.17
- 1.18
- 1.19
- 1.20
- 1.21
- 1.22
- 1.23
- 1.24
- 1.25
- 1.25.0
- 1.25.1
- 1.25.2
- 1.25.3
- 1.25.4
- 1.25.5
- 1.25.6
- 1.25.7
- 1.26.0
Lizenz
Webseite
- Hersteller: https://www.google.com/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 7.4VulDB Meta Temp Score: 7.2
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
ADP CISA Base Score: 7.5
ADP CISA Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Remote Code ExecutionCWE: CWE-1286 / CWE-20
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 301394
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2026-25679
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: Go 1.25.8/1.26.1
Timeline
05.02.2026 CVE zugewiesen07.03.2026 Advisory veröffentlicht
07.03.2026 VulDB Eintrag erstellt
03.06.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Hersteller: google.comStatus: Bestätigt
CVE: CVE-2026-25679 (🔒)
GCVE (CVE): GCVE-0-2026-25679
GCVE (VulDB): GCVE-100-349616
CERT Bund: WID-SEC-2026-0548 - Golang Go: Mehrere Schwachstellen ermöglichen nicht spezifizierten Angriff
Eintrag
Erstellt: 07.03.2026 09:17Aktualisierung: 03.06.2026 16:23
Anpassungen: 07.03.2026 09:17 (53), 07.03.2026 14:58 (2), 12.03.2026 06:42 (17), 01.04.2026 21:51 (7), 16.04.2026 14:43 (1), 03.06.2026 16:23 (1)
Komplett: 🔍
Cache ID: 216::103
VulDB is the best source for vulnerability data and more expert information about this specific topic.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.