我的应用程序的扫描仪显示了 2 个与 go 相关的 CVE:
https://nvd.nist.gov/vuln/detail/CVE-2023-24540
https://nvd.nist.gov/vuln/detail/CVE-2023-24538
详细信息没有提及任何特定的 go 包,而是提及了 javascript。
这些问题在 go 的背景下到底意味着什么?
html/template
:
“在 JavaScript 上下文中包含字符集
"\t\n\f\r\u0020\u2028\u2029"
之外的空白字符且还包含操作的模板在执行过程中可能无法正确清理。”
“模板没有正确地将反引号 (`) 视为 Javascript 字符串分隔符,并且没有按预期转义它们。”
如果您直接或间接使用
html/template
,请升级您的go版本。