2022年04月07日
1月,谷歌工程师修复了Go语言(Golang)一个远程代码执行漏洞。CVE编号为CVE-2021-3115,漏洞主要影响使用go get命令的Windows Go用户。搜索非可信目录路径RCE这个漏洞是日本安全研究人员RyotaK发现的是命令注入漏洞。漏洞的根本原因是用户运行go get提取库时编译过程的工作原理。在Windows 操作系统由用户或程序操作shell命令会引发shell 在当前目录中搜索与该命令相关的二进制文件或可执行文件,然后在系统中搜索PATH在变量中指定目录列表。例如,