VDB-154648 · CVE-2020-12283 · GCVE-0-2020-12283

Sourcegraph 迄 3.15.0 redirect.go SafeRedirectURL String

CVSS 一時的なメタスコア	現在のエクスプロイト価格 (≈)	CTI注目指数
6.5	$0-$5k	0.00

要約情報

現在、Sourcegraph 迄 3.15.0にて、重大と分類される脆弱性が確認されています。対象となるのは関数SafeRedirectURL ファイルcmd/frontend/auth/redirect.goのです。操作入力値//foo//example.comを用いた Stringの一部としての結果として Redirectにつながります。この脆弱性はCVE-2020-12283として知られています。攻撃はリモートから実行できます。影響コンポーネントのアップグレードを推奨します。

詳細情報

現在、Sourcegraph 迄 3.15.0にて、重大と分類される脆弱性が確認されています。対象となるのは関数SafeRedirectURL ファイルcmd/frontend/auth/redirect.goのです。操作入力値//foo//example.comを用いた Stringの一部としての結果として Redirectにつながります。この脆弱性に対応するCWEの定義は CWE-601 です。この脆弱性は 2020年04月30日に「GitHub Repository」のにて紹介されました。アドバイザリはgithub.comから入手可能です。

この脆弱性はCVE-2020-12283として知られています。 CVEの割当は2020年04月27日で行われました。攻撃はリモートから実行できます。技術的な情報が提供されています。この脆弱性の一般的な利用度は平均を下回っています。今のところ、エクスプロイトの価格はおよそUSD $0-$5kと推定されます。 MITRE ATT&CKプロジェクトは攻撃手法をT1204.001として定義しています。

このエクスプロイトツールは未定義として宣言されています。 0-dayの際、アンダーグラウンド市場での想定価格は$0-$5k前後でした。

バージョン 3.15.1 をアップグレードすることで、この問題に対処できます。影響コンポーネントのアップグレードを推奨します。