Een kritieke kwetsbaarheid met ID CVE-2025-4674 kan ervoor zorgen dat het go-commando onverwachte commando’s uitvoert binnen onbetrouwbare VCS-repositories. Dit is gerelateerd aan gevaarlijke configuraties die in repositories aanwezig kunnen zijn, vooral wanneer metadata van een ander versiebeheersysteem aanwezig is.
Overzicht
De kwetsbaarheid verwijst naar het probleemtype CWE-73: Externe controle van bestandsnaam of pad. Specifiek beïnvloedt het de versies van cmd/go van de Go toolchain:
- Versies lager dan 1.23.11
- Versies vanaf 1.24.0 tot net onder 1.24.5
Modules opgehaald via de opdrachtregel go get zijn niet getroffen.
Aanbevelingen
Het wordt sterk aanbevolen om uw Go-installatie bij te werken naar een versie die niet kwetsbaar is. Controleer of u de nieuwste stabiele release gebruikt die deze specifieke kwetsbaarheid verhelpt.
Bronnen
Vraag en Antwoord
1. Wat is CVE-2025-4674?
Het is een kwetsbaarheid die leidt tot de oncontroleerbare uitvoering van commando’s binnen onbetrouwbare VCS-repositories met het cmd/go commando.
2. Welke systemen zijn kwetsbaar voor CVE-2025-4674?
Systemen die Go gebruiken met cmd/go versies lager dan 1.23.11 of tussen 1.24.0 en net onder 1.24.5 zijn kwetsbaar.
3. Bestaat er al een patch of beveiligingsupdate?
Ja, er is een update beschikbaar. Het is aanbevolen om de Go-versie te updaten naar de nieuwste veilige release. Controleer de genoemde bronnen voor meer details.
4. Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan mogelijk kwaadaardige commando’s uitvoeren binnen de context van onbetrouwbare versiebeheerrepositories, wat kan leiden tot ongeautoriseerde systeemtoegang of -controle.
