远程 Redhat Enterprise Linux 9 主机上安装的程序包受到 RHSA-2023: 2357 公告中提及的一个漏洞影响。

  - 在 Go 1.17.12 和 Go 1.18.4 版之前的 net/http 的 HTTP/1 客户端中接受某些无效的 Transfer-Encoding 标头后，如果与同样未能将标头正确拒绝为无效的中间服务器结合，则允许 HTTP 请求走私。(CVE-2022-1705)

  - 在 Go 1.18.6 之前版本以及 1.19.1 1.19.x 之前版本中，如果关闭操作被致命错误抢占，则 HTTP/2 连接可在关闭期间挂起，攻击者可借此通过 net/http 造成拒绝服务。(CVE-2022-27664)

  - ReverseProxy 转发的请求包括入站请求的原始查询参数，包括 net/http 拒绝的无法解析的参数。当 Go 代理转发具有不可解析值的参数时，这可能允许查询参数走私。修复后，在 ReverseProxy 之后设置出站请求的表单字段时，ReverseProxy 会审查转发的查询中的查询参数。Director 函数返回即表示代理已解析查询参数。不解析查询参数的代理继续转发不变的原始查询参数。(CVE-2022-2880)

  - Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30630)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30632)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息，由于堆栈耗尽而造成错误。
    (CVE-2022-30635)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发，这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

  - 在 1.17.13 和 1.18.5 版之前的 Go 的 math/big 中，编码过短的消息可能导致 Float.GobDecode 和 Rat GobDecode 发生错误，从而可能造成拒绝服务。(CVE-2022-32189)

  - 从不受信任的来源编译正则表达式的程序容易受到内存耗尽或拒绝服务的影响。解析后的 regexp 表示与输入的大小成线性关系，但在某些情况下，常数因子可高达 40,000，使得相对较小的 regexp 消耗大量内存。修复后，每个被解析的 regexp 被限制为 256 MB 内存占用。正则表达式的表示会使用比拒绝的表达式更多的空间。正则表达式的正常使用不受影响。 (CVE-2022-41715)

  - 攻击者可造成接受 HTTP/2 请求的 Go 服务器内存过度增长。HTTP/2 服务器连接包含客户端发送的 HTTP 标头密钥的缓存。尽管此缓存中的条目总数已上限，但攻击者可发送非常大的密钥，从而导致服务器为每个打开的连接分配大约 64 MiB。(CVE-2022-41717)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程iraclelinux 8 主机上存在安装的程序包该程序包受到 AXSA:2022-3920:02 公告中提及的多个漏洞的影响。

    * golang.org/x/text解析 -u- 扩展时language.ParseAcceptLanguage 中的错误CVE-2020-28851]
      * golang.org/x/text处理 bcp47 标签时language.ParseAcceptLanguage 中的错误CVE-2020-28852
      * golangnet/[http:](http:) 未正确审查传输编码标头 (CVE-2022-1705)
      * golangnet/[http:](http:) 处理发送 GOAWAY 后的服务器错误 (CVE-2022-27664)
      * golangio/fsGlob 中的堆栈耗尽 (CVE-2022-30630)
      * golang路径/文件路径Glob 中的堆栈耗尽 (CVE-2022-30632)
      * golang编码/gobDecoder.Decode 中的堆栈耗尽 (CVE-2022-30635)
      * golangnet/http/httputilNewSingleHostReverseProxy - 忽略不工作的 X-Forwarded-For (CVE-2022-32148)
      * golangmath/big如果编码的消息太短解码 big.Float 和 big.Rat 类型可能会发生错误从而可能允许拒绝服务 (CVE-2022-32189)

Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

因此，它受到 ALAS2-2022-1860 公告中提及的多个漏洞影响。

  - 在 Go 1.17.12 和 Go 1.18.4 之前的 net/http 客户端中接受某些无效的 Transfer-Encoding 标头后，如果与同样未能将标头正确拒绝为无效的中间服务器结合，则允许 HTTP 请求走私。(CVE-2022-1705)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，go/parser 函数中不受控制的递归允许攻击者通过深度嵌套的类型或声明造成堆栈耗尽。(CVE-2022-1962)

  - 在 v3.8.0 之前的 GitHub 存储库 emicklei/go-restful 中，通过用户控制的密钥绕过授权。
    (CVE-2022-1996)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，encoding/pem 允许通过大量 PEM 数据造成解码堆栈溢出。(CVE-2022-24675)

  - 0.0 之前的 golang.org/x/crypto/ssh 程序包。Go 的 0-20220314234659-1baeb1ce4c0b 允许攻击者在某些涉及 AddHostKey 的情况下使服务器崩溃。(CVE-2022-27191)

  - 在 Go 1.18.6 之前版本以及 1.19.1 1.19.x 之前版本中，如果关闭操作被致命错误抢占，则 HTTP/2 连接可在关闭期间挂起，攻击者可借此通过 net/http 造成拒绝服务。(CVE-2022-27664)

  - 在 1.17.12 之前的 Go 和 1.18.x 之前的 1.18.4中，encoding/xml 的 Decoder.Skip 中通过深度嵌套的 XML 文档可发生堆栈耗尽和错误。(CVE-2022-28131)

  - 在 Go 1.17.9 之前版本以及 1.18.x 1.18.1 之前版本中，crypto/elliptic 的通用 P-256 特征允许通过长标量输入造成错误。(CVE-2022-28327)

  - Go 在 1.17.10 之前的版本和在 1.18.2 之前的 1.18.x 版本中权限分配不正确。当使用非零标记参数调用时，Faccessat 函数可能错误地报告文件可访问。
    (CVE-2022-29526)

  - Go 1.17.11 和 Go 1.18.3 之前的版本中，crypto/tls 中会话票证中 ticket_age_add 的非随机值会让攻击者能够观察 TLS 握手，以在会话恢复期间通过比较票证使用时间来关联连续的连接。(CVE-2022-30629)

  - Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30630)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，compress/gzip 中的 Reader.Read 中不受控制的递归允许攻击者通过包含大量连接的 0 长度压缩文件的存档，由于堆栈耗尽而造成错误。(CVE-2022-30631)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30632)

  - Go 1.17.12和 Go 1.18.4 之前的版本中，encoding/xml 中的 Unmarshal 中不受控制的递归允许攻击者通过将 XML 文档解组到具有使用“any”字段标记的嵌套字段的 Go 结构中来造成错误。(CVE-2022-30633)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息，由于堆栈耗尽而造成错误。
    (CVE-2022-30635)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发，这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 go-rpm-macros 的版本低于 3.0.15-23。因此，它受到 ALAS2-2022-1863 公告中提及的多个漏洞影响。

  - 在 Go 1.17.12 和 Go 1.18.4 之前的 net/http 客户端中接受某些无效的 Transfer-Encoding 标头后，如果与同样未能将标头正确拒绝为无效的中间服务器结合，则允许 HTTP 请求走私。(CVE-2022-1705)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，go/parser 函数中不受控制的递归允许攻击者通过深度嵌套的类型或声明造成堆栈耗尽。(CVE-2022-1962)

  - 在 v3.8.0 之前的 GitHub 存储库 emicklei/go-restful 中，通过用户控制的密钥绕过授权。
    (CVE-2022-1996)

  - 在 Go 1.17.9 之前版本以及 1.18.x 的 1.18.1 之前版本中，encoding/pem 允许通过大量 PEM 数据造成解码堆栈溢出。(CVE-2022-24675)

  - 0.0 之前的 golang.org/x/crypto/ssh 程序包。Go 的 0-20220314234659-1baeb1ce4c0b 允许攻击者在某些涉及 AddHostKey 的情况下使服务器崩溃。(CVE-2022-27191)

  - 在 Go 1.18.6 之前版本以及 1.19.1 1.19.x 之前版本中，如果关闭操作被致命错误抢占，则 HTTP/2 连接可在关闭期间挂起，攻击者可借此通过 net/http 造成拒绝服务。(CVE-2022-27664)

  - 在 1.17.12 之前的 Go 和 1.18.x 之前的 1.18.4中，encoding/xml 的 Decoder.Skip 中通过深度嵌套的 XML 文档可发生堆栈耗尽和错误。(CVE-2022-28131)

  - 在 Go 1.17.9 之前版本以及 1.18.x 1.18.1 之前版本中，crypto/elliptic 的通用 P-256 特征允许通过长标量输入造成错误。(CVE-2022-28327)

  - Go 在 1.17.10 之前的版本和在 1.18.2 之前的 1.18.x 版本中权限分配不正确。当使用非零标记参数调用时，Faccessat 函数可能错误地报告文件可访问。
    (CVE-2022-29526)

  - Go 1.17.11 和 Go 1.18.3 之前的版本中，crypto/tls 中会话票证中 ticket_age_add 的非随机值会让攻击者能够观察 TLS 握手，以在会话恢复期间通过比较票证使用时间来关联连续的连接。(CVE-2022-30629)

  - Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30630)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，compress/gzip 中的 Reader.Read 中不受控制的递归允许攻击者通过包含大量连接的 0 长度压缩文件的存档，由于堆栈耗尽而造成错误。(CVE-2022-30631)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30632)

  - Go 1.17.12和 Go 1.18.4 之前的版本中，encoding/xml 中的 Unmarshal 中不受控制的递归允许攻击者通过将 XML 文档解组到具有使用“any”字段标记的嵌套字段的 Go 结构中来造成错误。(CVE-2022-30633)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息，由于堆栈耗尽而造成错误。
    (CVE-2022-30635)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发，这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 CentOS Linux 8 主机上安装的程序包受到 CESA-2023: 2802 公告中提及的多个漏洞影响。

  - 在 Go 1.17.12 和 Go 1.18.4 版之前的 net/http 的 HTTP/1 客户端中接受某些无效的 Transfer-Encoding 标头后，如果与同样未能将标头正确拒绝为无效的中间服务器结合，则允许 HTTP 请求走私。(CVE-2022-1705)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，go/parser 函数中不受控制的递归允许攻击者通过深度嵌套的类型或声明造成堆栈耗尽。(CVE-2022-1962)

  - 在 Go 1.18.6 之前版本以及 1.19.1 1.19.x 之前版本中，如果关闭操作被致命错误抢占，则 HTTP/2 连接可在关闭期间挂起，攻击者可借此通过 net/http 造成拒绝服务。(CVE-2022-27664)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/xml 中的 Decoder.Skip 中不受控制的递归允许攻击者通过深度嵌套的 XML 文档引起堆栈耗尽，从而造成错误。(CVE-2022-28131)

  - Podman 容器引擎中存在附属组处理错误问题，这可能导致敏感信息泄露或数据修改，但前提是攻击者可以直接访问受影响的容器（其中使用附属组来设置访问权限，并且能够在该容器中执行二进制代码。(CVE-2022-2989)

  - Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30630)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，compress/gzip 中的 Reader.Read 中不受控制的递归允许攻击者通过包含大量连接的 0 长度压缩文件的存档，由于堆栈耗尽而造成错误。(CVE-2022-30631)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30632)

  - Go 1.17.12和 Go 1.18.4 之前的版本中，encoding/xml 中的 Unmarshal 中不受控制的递归允许攻击者通过将 XML 文档解组到具有使用“any”字段标记的嵌套字段的 Go 结构中来造成错误。(CVE-2022-30633)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息，由于堆栈耗尽而造成错误。
    (CVE-2022-30635)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发，这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

  - 在 1.17.13 和 1.18.5 版之前的 Go 的 math/big 中，编码过短的消息可能导致 Float.GobDecode 和 Rat GobDecode 发生错误，从而可能造成拒绝服务。(CVE-2022-32189)

  - 攻击者可造成接受 HTTP/2 请求的 Go 服务器内存过度增长。HTTP/2 服务器连接包含客户端发送的 HTTP 标头密钥的缓存。尽管此缓存中的条目总数已上限，但攻击者可发送非常大的密钥，从而导致服务器为每个打开的连接分配大约 64 MiB。(CVE-2022-41717)

  - 在 podman 中发现检查时间使用时间 (TOCTOU) 争用缺陷。此问题可能允许恶意用户在导出卷时将卷中的普通文件替换为符号链接，从而可以访问主机文件系统中的任意文件。(CVE-2023-0778)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 CentOS Linux 8 主机上安装的程序包受到 CESA-2023: 2758 公告中提及的多个漏洞的影响。

  - 在 Go 1.17.12 和 Go 1.18.4 版之前的 net/http 的 HTTP/1 客户端中接受某些无效的 Transfer-Encoding 标头后，如果与同样未能将标头正确拒绝为无效的中间服务器结合，则允许 HTTP 请求走私。(CVE-2022-1705)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，go/parser 函数中不受控制的递归允许攻击者通过深度嵌套的类型或声明造成堆栈耗尽。(CVE-2022-1962)

  - 在 Go 1.18.6 之前版本以及 1.19.1 1.19.x 之前版本中，如果关闭操作被致命错误抢占，则 HTTP/2 连接可在关闭期间挂起，攻击者可借此通过 net/http 造成拒绝服务。(CVE-2022-27664)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/xml 中的 Decoder.Skip 中不受控制的递归允许攻击者通过深度嵌套的 XML 文档引起堆栈耗尽，从而造成错误。(CVE-2022-28131)

  - Go 1.17.11 和 Go 1.18.3 之前的版本中，crypto/tls 中会话票证中 ticket_age_add 的非随机值会让攻击者能够观察 TLS 握手，以在会话恢复期间通过比较票证使用时间来关联连续的连接。(CVE-2022-30629)

  - Go 1.17.12 和 Go 1.18.4 之前的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30630)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，compress/gzip 中的 Reader.Read 中不受控制的递归允许攻击者通过包含大量连接的 0 长度压缩文件的存档，由于堆栈耗尽而造成错误。(CVE-2022-30631)

  - Go 1.17.12 和 Go 1.18.4 之前版本中，path/filepath 中的 Glob 中不受控制的递归允许攻击者通过包含大量路径分隔符的路径，由于堆栈耗尽而造成错误。
    (CVE-2022-30632)

  - Go 1.17.12和 Go 1.18.4 之前的版本中，encoding/xml 中的 Unmarshal 中不受控制的递归允许攻击者通过将 XML 文档解组到具有使用“any”字段标记的嵌套字段的 Go 结构中来造成错误。(CVE-2022-30633)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，encoding/gob 中的 Decoder.Decode 中不受控制的递归允许攻击者通过包含深度嵌套结构的消息，由于堆栈耗尽而造成错误。
    (CVE-2022-30635)

  - Go 1.17.12 和 Go 1.18.4 之前的版本中，net/http 中不当暴露客户端 IP 地址可通过使用包含 X-Forwarded-For 标头的 nil 值的 Request.Header 映射调用 httputil.ReverseProxy.ServeHTTP 来触发，这会造成 ReverseProxy 将客户端 IP 设置为 X-Forwarded-For 标头的值。(CVE-2022-32148)

  - 在 1.17.13 和 1.18.5 版之前的 Go 的 math/big 中，编码过短的消息可能导致 Float.GobDecode 和 Rat GobDecode 发生错误，从而可能造成拒绝服务。(CVE-2022-32189)

  - 攻击者可造成接受 HTTP/2 请求的 Go 服务器内存过度增长。HTTP/2 服务器连接包含客户端发送的 HTTP 标头密钥的缓存。尽管此缓存中的条目总数已上限，但攻击者可发送非常大的密钥，从而导致服务器为每个打开的连接分配大约 64 MiB。(CVE-2022-41717)

  - 在 podman 中发现检查时间使用时间 (TOCTOU) 争用缺陷。此问题可能允许恶意用户在导出卷时将卷中的普通文件替换为符号链接，从而可以访问主机文件系统中的任意文件。(CVE-2023-0778)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 AlmaLinux 8 主机上存在安装的程序包该程序包受到 ALSA-2023:2758 公告中提及的多个漏洞的影响。

    * golangnet/http传输编码标头审查不正确CVE-2022-1705
    * golanggo/parser所有 Parse* 函数中的堆栈耗尽 (CVE-2022-1962)
    * golangnet/http发送 GOAWAY 后处理服务器错误 (CVE-2022-27664)
    * golang编码/xmlDecoder.Skip 中的堆栈耗尽 (CVE-2022-28131)
    * golangio/fsGlob 中的堆栈耗尽 (CVE-2022-30630)
    * golang压缩/gzipReader.Read 中的堆栈耗尽 (CVE-2022-30631)
    * golang路径/文件路径Glob 中的堆栈耗尽 (CVE-2022-30632)
    * golang编码/xmlUnmarshal 中的堆栈耗尽 (CVE-2022-30633)
    * golang编码/gobDecoder.Decode 中的堆栈耗尽 (CVE-2022-30635)
    * golangnet/http/httputilNewSingleHostReverseProxy - 忽略不工作的 X-Forwarded-For (CVE-2022-32148)
    * golangnet/http接受 HTTP/2 请求的 Go 服务器中内存增长过度 (CVE-2022-41717)
    * podmanpodman 导出卷中的符号链接交换攻击CVE-2023-0778
    * golangcrypto/tls会话票证缺少随机 Ticket_age_add (CVE-2022-30629)
    * golangmath/big如果编码的消息太短解码 big.Float 和 big.Rat 类型可能会发生错误从而可能允许拒绝服务 (CVE-2022-32189)

Tenable 已直接从 AlmaLinux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程 22.04 LTS / 24.04 LTS 主机上安装的程序包受到 USN-8089-1 公告中提及的多个漏洞的影响。

    Bahruz Jabiyev、Tommaso Innocenti、Anthony Gavazzi、Steven Sprecher 和 Kaan Onarlioglu 发现如果被致命错误先占使用 Go Networking 的服务器可能在关机期间挂起。攻击者可能利用此问题造成拒绝服务。此问题仅影响 Ubuntu 22.04 LTS。
    (CVE-2022-27664)

    Arpad Ryszka 和 Jakob Ackermann 发现恶意特制的流可造成 Go Networking 的 HPACK 解码器中 CPU 使用率过高。攻击者可能利用此问题造成拒绝服务。
    此问题仅影响 Ubuntu 22.04 LTS。(CVE-2022-41723)

    Mohammad Thoriq Aziz 发现 Go Networking 未正确审查某些文本节点。攻击者可能利用此漏洞执行任意代码。此问题仅影响 Ubuntu 22.04 LTS。
    (CVE-2023-3978)

    Sean Ng 在 Go Networking 的 HTML 标记处理中发现错误。攻击者可能利用此问题造成拒绝服务。(CVE-2025-22872)

    Guido Vranken 和 Jakub Ciolek 发现恶意构建的 HTML 文档可能会耗尽使用 Go Networking 的服务器上的系统资源。攻击者可能利用此问题造成拒绝服务。(CVE-2025-47911)

    Guido Vranken 发现恶意构建的 HTML 文档可将使用 Go Networking 的服务器置于无限循环中。攻击者可能利用此问题造成拒绝服务。(CVE-2025-58190)

Tenable 已直接从 Ubuntu 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Splunk 版本低于测试版本。因此，该应用程序受到 SVD-2023-0808 公告中提及的一个漏洞影响。

  - 使用 cgo 时，go 命令可能在构建时执行任意代码。在恶意模块上运行 go get 或运行构建不受信任代码的任何其他命令时，可能会发生这种情况。此问题可由通过 #cgo LDFLAGS 指令指定的链接器标记触发。由于包含嵌入空格的标记处理不当，导致可以通过 LDFLAGS 审查走私禁用的标记，方法则是将这些标记纳入另一个标记的参数中。这会影响 gccgo 编译器的使用。(CVE-2023-29405)

  - 低于 7.84.0 版的 curl 将 cookie、alt-svc 和 hsts 数据保存到本地文件时，会通过将临时名称重命名为最终目标文件名称来完成操作，从而使该操作成为原子型操作。在该重命名操作中，它可能会意外*放宽*对目标文件的权限，使更多用户可访问更新后的文件。(CVE-2022-32207)

  - decode-uri-component 0.2.0 版容易受到不当输入验证的影响，从而导致 DoS。(CVE-2022-38900)

  - Node.js 12.1.0 之前版本的 got 程序包（也已在 11.8.5 中修复）允许重定向到 UNIX 套接字。
    (CVE-2022-33987)

  - 在 webpack loader-utils 中，通过 parseQuery.js 中的名称变量，可在 parseQuery.js 的 parseQuery 函数中造成原型污染漏洞。这会影响 1.4.1 和 2.0.3 之前的所有版本。(CVE-2022-37601)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

ID	名称	产品	系列	发布时间	最近更新时间	严重程度
175475	RHEL 9：git-lfs (RHSA-2023: 2357)	Nessus	Red Hat Local Security Checks	2023/5/13	2025/3/10	high
293342	MagicLinux 8git-lfs-2.13.3-3.el8 (AXSA:2022-3920:02)	Nessus	Miracle Linux Local Security Checks	2026/1/20	2026/2/24	medium
166392	Amazon Linux 2：golang-github-gorilla-mux (ALAS-2022-1860)	Nessus	Amazon Linux Local Security Checks	2022/10/21	2024/12/11	medium
166407	Amazon Linux 2：go-rpm-macros (ALAS-2022-1863)	Nessus	Amazon Linux Local Security Checks	2022/10/21	2024/12/11	medium
175893	CentOS 8：container-tools: 4.0 (CESA-2023: 2802)	Nessus	CentOS Local Security Checks	2023/5/16	2024/2/8	high
176149	CentOS 8：container-tools: rhel8 (CESA-2023: 2758)	Nessus	CentOS Local Security Checks	2023/5/20	2024/2/8	medium
176167	AlmaLinux 8container-tools:rhel8 (ALSA-2023:2758)	Nessus	Alma Linux Local Security Checks	2023/5/20	2025/1/13	medium
302214	Ubuntu 22.04 LTS / 24.04 LTSGo Networking 漏洞 (USN-8089-1)	Nessus	Ubuntu Local Security Checks	2026/3/13	2026/3/13	medium
194928	Splunk Enterprise 8.2.0 < 8.2.12、9.0.0 < 9.0.6、9.1.0 < 9.1.1 (SVD-2023-0808)	Nessus	CGI abuses	2024/5/2	2024/7/29	critical

检测

插件搜索

high

medium

medium

medium

high

medium

medium

medium

critical