Поддержать Telegram

CVE-2025-61732

HIGH CVSS 3.1: 8,6 EPSS 0.01%

5 февраля 2026

Обновлено 5 февраля 2026

Параметр	Значение
CVSS	8,6 (HIGH)
Тип уязвимости	CWE-94 (Code Injection (Внедрение кода))
Публичный эксплойт	Нет

Несоответствие между тем, как анализировались комментарии Go и C/C++, привело к контрабанде кода в результирующий двоичный файл cgo.

Показать оригинальное описание (EN)

A discrepancy between how Go and C/C++ comments were parsed allowed for code smuggling into the resulting cgo binary.

Характеристики атаки

Способ атаки

Локальный

Нужен локальный доступ

Сложность

Низкая

Легко эксплуатировать

Нужны права

Не требуются

Права не нужны

Участие пользователя

Требуется

Нужно действие пользователя

Последствия

Конфиденциальность

Высокое

Полная утечка данных

Целостность

Высокое

Полная модификация данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-94 Code Injection (Внедрение кода)

Ссылки 4

https://go.dev/cl/734220

security@golang.org

https://go.dev/issue/76697

security@golang.org

https://groups.google.com/g/golang-announce/c/K09ubi9FQFk

security@golang.org

https://pkg.go.dev/vuln/GO-2026-4433

security@golang.org

Share Post Share Share Share

Сводка

CVE ID

CVE-2025-61732

Опубликовано

5 февраля, 2026

Поставщик

Не определён

Уровень угрозы

HIGH

CVSS v3.1 Оценка

8,6

Высокая. Рекомендуется устранить в первую очередь.

Оценка угрозы

Простота эксплуатации 1,8/10

Насколько легко использовать уязвимость

Ущерб 6,0/10

Возможный ущерб при атаке

Вероятность атаки (EPSS)

Шанс использования 0.01%

Вероятность использования в ближайшие 30 дней

Уровень риска: Опаснее 0.4% всех уязвимостей

Стандартный цикл обновлений

Ущерб

Полная утечка данных

Полная модификация данных

Отказ в обслуживании

Ссылка

Перейти к источнику

Выбор редакции