Уязвимость CVE-2023-29400: Информация

Описание

Templates containing actions in unquoted HTML attributes (e.g. "attr={{.}}") executed with empty input can result in output with unexpected results when parsed due to HTML normalization rules. This may allow injection of arbitrary attributes into tags.

Важность: HIGH (7,3) Вектор: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L

URL: https://nvd.nist.gov/vuln/detail/CVE-2023-29400
Опубликовано: 11 мая 2023 г.
Изменено: 7 ноября 2023 г.
Идентификатор типа ошибки: CWE-74

Исправленные пакеты

Имя пакета
Ветка
Исправлено в версии
Версия в репозитории
Errata ID
№ Задания
Состояние
golangsisyphus1.20.4-alt11.22.2-alt1ALT-PU-2023-1699-1319733Исправлено
golangsisyphus_riscv641.20.4-alt11.22.2-alt1ALT-PU-2023-3471-1-Исправлено
golangp101.19.9-alt11.21.9-alt1ALT-PU-2023-1734-1319734Исправлено
golangp91.19.12-alt11.15.15-alt1ALT-PU-2023-5153-1326713Тестирование
golangc10f11.20.8-alt11.21.9-alt1ALT-PU-2023-5492-2328868Исправлено
golangc9f21.19.12-alt11.20.11-alt1ALT-PU-2023-4785-2323137Исправлено

Ссылки на рекомендации, решения и инструменты

Ссылка
Ресурс
https://go.dev/cl/491617
  • Patch
https://groups.google.com/g/golang-announce/c/MEb0UyuSMsU
  • Mailing List
  • Release Notes
https://pkg.go.dev/vuln/GO-2023-1753
  • Vendor Advisory
https://go.dev/issue/59722
  • Issue Tracking
  • Patch

    1. Конфигурация 1

      cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
      Start including
      1.20.0
      End excliding
      1.20.4
      cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
      End excliding
      1.19.9
VKontakte|Telegram|YouTube|Forum|GitHub|Bugzilla
Версия: v24.4.2
Наверх