漏洞预警|golang net/url 路径穿越漏洞

近日网上有关于开源项目golang net/url 路径穿越漏洞，棱镜七彩威胁情报团队第一时间探测到，经分析研判，向全社会发起开源漏洞预警公告，提醒相关安全团队及时响应。

项目介绍

golang 的组件net/url实现了URL的解析处理和查询转义。

项目主页

代码托管地址

CVE编号

CVE-2022-32190

漏洞情况

golang 的组件net/url实现了URL的解析处理和查询转义。

golang net/ur存在路径穿越漏洞，漏洞源于 net/url 的 JoinPath 函数不会删除附加的相对路径中的 ../ 元素，攻击者可能利用该漏洞访问系统敏感文件。

受影响的版本

net/url@[1.19, 1.19.1)

net/url@[1, 1.18.6)

修复方案

升级golang到 1.18.6,1.19.1 或更高版本

链接地址：

https://nvd.nist.gov/vuln/detail/CVE-2022-32190

https://github.com/golang/go/issues/54385

https://groups.google.com/g/golang-announce/c/x49AQzIVX-s