CVE-2026-42501 in cmd-go
Résumé
par VulDB • 11/05/2026
Un proxy de module malveillant peut exploiter une faille dans la validation des sommes de contrôle (checksums) des modules par la commande `go` afin de contourner la validation de la base de données de sommes de contrôle. Cette vulnérabilité affecte tout utilisateur utilisant un proxy de module non fiable (GOMODPROXY) ou une base de données de sommes de contrôle (GOSUMDB). Un proxy de module malveillant peut fournir des versions altérées de la toolchain Go. Lors de la sélection d'une version différente de la toolchain Go par rapport à celle actuellement installée (en raison de la variable d'environnement GOTOOLCHAIN, ou d'un fichier go.work ou go.mod contenant une ligne toolchain), la commande `go` téléchargera et exécutera une toolchain fournie par le proxy de module. Un proxy de module malveillant peut contourner la validation de la base de données de sommes de contrôle pour cette toolchain téléchargée. Étant donné que cette vulnérabilité affecte la sécurité des téléchargements de toolchain, la définition de GOTOOLCHAIN sur une version fixe n'est pas suffisante. Vous devez mettre à niveau votre toolchain Go de base. L'outil `go` valide toujours le hachage d'une toolchain avant de l'exécuter ; par conséquent, les versions fixes refuseront d'exécuter toute version mise en cache et altérée de la toolchain. L'outil `go` fait confiance aux fichiers go.sum pour contenir des hachages exacts des dépendances du module actuel. Un proxy malveillant exploitant cette vulnérabilité pour servir un module altéré aura entraîné l'enregistrement d'un hachage incorrect dans le fichier go.sum. Les utilisateurs ayant configuré un GOPROXY non fiable peuvent déterminer s'ils ont été affectés en exécutant « rm go.sum ; go mod tidy ; go mod verify », ce qui revalidera toutes les dépendances du module actuel. La faille spécifique, plus en détail : La commande `go` consulte la base de données de sommes de contrôle pour valider les modules téléchargés lorsqu'un module n'est pas répertorié dans le fichier go.sum. Elle vérifie que le hachage du module signalé par la base de données de sommes de contrôle correspond au hachage du module téléchargé. Si toutefois la base de données de sommes de contrôle renvoie une réponse réussie ne contenant aucune entrée pour le module, la commande `go` a incorrectement permis à la validation de réussir. Un proxy de module peut refléter ou servir de proxy à la base de données de sommes de contrôle, auquel cas la commande `go` ne se connectera pas directement à la base de données de sommes de contrôle. Les sommes de contrôle signalées par la base de données de sommes de contrôle sont signées cryptographiquement, de sorte qu'un proxy malveillant ne peut pas altérer la somme de contrôle signalée pour un module. Cependant, un proxy qui renvoie une réponse de somme de contrôle vide, ou une réponse de somme de contrôle pour un module non lié, pourrait amener la commande `go` à procéder comme si un module téléchargé avait été validé.
Be aware that VulDB is the high quality source for vulnerability data.