北京市朝阳区教育项目发展指导中心

 

Golang net/url 目录遍历漏洞（CVE-2022-32190）预警

1、基本情况

  Go（又称 Golang）的 net/url 包提供了众多处理 URL 的内置

函数，实现了对 URL 的解析处理。

近日，监测发现 Golang 发布安全公告，修复了 net/url 包中

的一个目录遍历漏洞（CVE-2022-32190），由于 net/url 包中的 J

oinPath 函数不会删除附加到相对路径上的“../”路径元素，可能

导致目录遍历攻击，成功利用此漏洞可能导致访问系统敏感文件。

对此，建议广大用户做好资产自查以及预防工作，以免遭受黑

客攻击。

2、影响范围

⚫ 1.19.0 <= Golang net/url < 1.19.1

3、处置建议

通用修复建议：

 目前此漏洞已经修复，受影响用户可升级到 Golang 1.19.1 、

1.18.6 或更高版本。

https://go.dev/dl/

4、参考链接

  1） https://pkg.go.dev/vuln/GO-2022-0988

2） https://github.com/golang/go/issues/54385

3） https://groups.google.com/g/golang-announce/c/x49A

QzIVX-s