miekg Go DNS package 安全特征问题漏洞
使用具有密码学弱点缺陷的PRNG
miekg Go DNS package是一款DNS服务器软件包。
miekg Go DNS package 1.1.25之前版本(用在CoreDNS 1.6.6之前版本和其他产品)中存在安全漏洞,该漏洞源于程序没有正确生成随机数。攻击者可利用该漏洞伪造响应。
David Kitchen bluemonday 安全漏洞
输入验证不恰当
David Kitchen bluemonday是 (David Kitchen)开源的一个应用程序。用于在Go中实现的HTML清理程序。
bluemonday sanitizer 存在安全漏洞,该漏洞源于Go中1.0.16之前的bluemonday和Python中 0.0.8之前的bluemonday(在pybluemonday中),不能正确地强制与SELECT、STYLE和OPTION元素关联的策略。
Gin-Gonic Gin 环境问题漏洞
HTTP请求的解释不一致性(HTTP请求私运)
Gin-Gonic Gin是Gin-Gonic团队的一个基于Go语言的用于快速构建Web应用的框架。
github.com/gin-gonic/gin 全部版本存在安全漏洞,该漏洞源于可以通过设置X-Forwarded-For头来欺骗客户端的IP。
Tidwall Gjson 输入验证错误漏洞
对数组索引的验证不恰当
Tidwall Gjson是Tidwall个人开发者的一个基于Go语言的用于与json格式数据进行交互的代码库。
GJSON <=v1.6.5 存在安全漏洞,该漏洞允许攻击者通过一个精心制作的GET调用导致拒绝服务。
go.uuid 安全特征问题漏洞
使用具有密码学弱点缺陷的PRNG
go.uuid是一个用于 Go 的 UUID 包。这个包提供了通用唯一标识符 (UUID) 的纯 Go 实现。支持 UUID 的创建和解析。
go.uuid存在安全漏洞,该漏洞源于g.rand.Read函数中存在不安全的随机性导致攻击者可利用该漏洞可以预测生成的uuid。。
http-swagger 安全漏洞
对异常条件的处理不恰当
http-swagger是一个 net/http 包装器。
http-swagge存在安全漏洞,该漏洞源于在 1.2.6 之前的 http-swagger 版本中,攻击者可能会执行拒绝服务攻击,包括在主机系统上耗尽内存。内存耗尽的原因归结为对 http 方法的不当处理。建议用户升级。无法升级的用户可以将路径前缀限制为“GET”方法作为解决方法。
Tidwall Gjson是Tidwall个人开发者的一个基于Go语言的用于与json格式数据进行交互的代码库。
GJSON before 1.6.4 版本存在输入验证错误漏洞,该漏洞源于网络系统或产品未对输入的数据进行正确的验证, 攻击者可通过精心制作的JSON导致拒绝服务。
Iris 安全漏洞
在文件访问前对链接解析不恰当(链接跟随)
Iris是一个快速、简单但功能齐全且非常高效的 Go 网络框架。
iris 12版本存在安全漏洞,该漏洞源于程序使用UploadFormFiles方法在上传过程中对文件名的不安全处理可能使攻击者能够写入指定目标文件夹之外的任意位置。
Tidwall Gjson是Tidwall个人开发者的一个基于Go语言的用于与json格式数据进行交互的代码库。
GJSON 存在安全漏洞,该漏洞源于1.9.3之前的GJSON允许ReDoS(正则表达式拒绝服务)攻击。
David Kitchen bluemonday 跨站脚本漏洞
XSS
David Kitchen bluemonday是 (David Kitchen)开源的一个应用程序。用于在Go中实现的HTML清理程序。
bluemonday before 1.0.5 存在跨站脚本漏洞,该漏洞源于特定的Go小写转换大写,“script”字符串的保护机制。
Tidwall Gjson是Tidwall个人开发者的一个基于Go语言的用于与json格式数据进行交互的代码库。
GJSON 1.6.5之前版本存在安全漏洞,该漏洞允许攻击者通过精心制作的JSON导致拒绝服务(远程)。
评论