В Darwin создание модуля Go, содержащего CGO, может инициировать выполнение произвольного кода при использовании версии ld для Apple из-за использования специальных значений @executable_path, @loader_path или @rpath в директиве «#cgo LDFLAGS». Эта проблема затронула только go1.24rc2.
Показать оригинальное описание (EN)
On Darwin, building a Go module which contains CGO can trigger arbitrary code execution when using the Apple version of ld, due to usage of the @executable_path, @loader_path, or @rpath special values in a "#cgo LDFLAGS" directive. This issue only affected go1.24rc2.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1