Можно было неправильно получить доступ к родительскому каталогу os.Root, открыв имя файла, оканчивающееся на «../». Например, Root.Open("../") откроет родительский каталог Root. Этот escape позволяет открыть только сам родительский каталог, а не предков родительского каталога или файлы, содержащиеся в родительском каталоге.
Показать оригинальное описание (EN)
It was possible to improperly access the parent directory of an os.Root by opening a filename ending in "../". For example, Root.Open("../") would open the parent directory of the Root. This escape only permits opening the parent directory itself, not ancestors of the parent or files contained within the parent.
Характеристики атаки
Способ атаки
Локальный
Нужен локальный доступ
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Ссылки 5
https://go.dev/cl/670036
security@golang.org
https://go.dev/issue/73555
security@golang.org
https://groups.google.com/g/golang-announce/c/UZoIkUT367A/m/5WDxKizJAQAJ
security@golang.org
https://pkg.go.dev/vuln/GO-2026-4403
security@golang.org
http://www.openwall.com/lists/oss-security/2025/05/06/2
af854a3a-2127-422b-91ae-364da2661108