阿里云漏洞库

漏洞描述

Go 标准库中的 html/template 组件实现了数据驱动的模板，用于生成可防止代码注入的 HTML 输出。

受影响版本的 html/template 没有正确将反引号作为JavaScript字符串定界符，并且没有按预期转义它们。如果模板在 Javascript 模板 literal（字面量）中包含 Go 模板操作，该操作内容可能用于终止 literal（字面量），将任意 Javascript 代码注入 Go 模板，这会导致其他用户在访问该模板时泄露会话令牌或登录凭据。

解决建议

"将组件 go 升级至 1.19.8 及以上版本"
"将组件 go 升级至 1.20.3 及以上版本"

参考链接
https://go.dev/cl/482079
https://go.dev/issue/59234
https://groups.google.com/g/golang-announce/c/Xdv6JL9ENs8
https://pkg.go.dev/vuln/GO-2023-1703
https://security.gentoo.org/glsa/202311-09

受影响软件情况

1
#	类型	厂商	产品	版本	影响面
	运行在以下环境
	应用	golang	go	*		Up to (excluding) 1.19.8
	运行在以下环境
	应用	golang	go	*	From (including) 1.20.0	Up to (excluding) 1.20.3
	运行在以下环境
	系统	alma_linux_9	skopeo	*		Up to (excluding) 1.13.3-1.el9
	运行在以下环境
	系统	alpine_3.17	go	*		Up to (excluding) 1.19.8-r0
	运行在以下环境
	系统	alpine_3.18	go	*		Up to (excluding) 1.20.3-r0
	运行在以下环境
	系统	alpine_3.19	go	*		Up to (excluding) 1.20.3-r0
	运行在以下环境
	系统	amazon_2	docker	*		Up to (excluding) 20.10.25-1.amzn2.0.3
	运行在以下环境
	系统	amazon_2023	golang	*		Up to (excluding) 1.19.8-1.amzn2023.0.1
	运行在以下环境
	系统	amazon_AMI	golang	*		Up to (excluding) 1.20.8-1.47.amzn1
	运行在以下环境
	系统	debian_12	golang-1.19	*		Up to (excluding) 1.19.8-2
	运行在以下环境
	系统	fedora_EPEL_7	golang	*		Up to (excluding) 1.19.9-1.el7
	运行在以下环境
	系统	kylinos_aarch64_V10SP2	golang	*		Up to (excluding) 1.15.7-26.ky10
	运行在以下环境
	系统	kylinos_loongarch64_V10SP1	golang	*		Up to (excluding) 1.15.7-26.p01.a.ky10
	运行在以下环境
	系统	kylinos_x86_64_V10SP2	golang	*		Up to (excluding) 1.15.7-26.ky10
	运行在以下环境
	系统	opensuse_Leap_15.4	go1.20	*		Up to (excluding) 1.20.3-150000.1.8.1
	运行在以下环境
	系统	oracle_9	skopeo	*		Up to (excluding) 1.13.3-1.el9
	运行在以下环境
	系统	redhat_9	skopeo	*		Up to (excluding) 1.13.3-1.el9
	运行在以下环境
	系统	ubuntu_22.10	golang-1.19	*		Up to (excluding) 1.19.2-1ubuntu1.1

攻击路径

本地
攻击复杂度

困难
权限要求

普通权限
影响范围

有限影响
EXP成熟度

未验证
补丁情况

官方补丁
数据保密性

无影响
数据完整性

无影响
服务器危害

无影响
全网数量

N/A

CWE-ID	漏洞类型
CWE-20	输入验证不恰当
CWE-94	对生成代码的控制不恰当（代码注入）

中危 Go html/template 存在存储型XSS漏洞

漏洞描述

解决建议

参考链接

受影响软件情况