Javascript模板相关CVE

问题描述 投票:0回答:1

我的应用程序的扫描仪显示了 2 个与 go 相关的 CVE:

https://nvd.nist.gov/vuln/detail/CVE-2023-24540

https://nvd.nist.gov/vuln/detail/CVE-2023-24538

详细信息没有提及任何特定的 go 包,而是提及了 javascript。

这些问题在 go 的背景下到底意味着什么?

go cve
1个回答
0
投票

两个问题都会影响

html/template
:

CVE-2023-24540

“在 JavaScript 上下文中包含字符集 

"\t\n\f\r\u0020\u2028\u2029"
之外的空白字符且还包含操作的模板在执行过程中可能无法正确清理。”

CVE-2023-24538

“模板没有正确地将反引号 (`) 视为 Javascript 字符串分隔符,并且没有按预期转义它们。”

如果您直接或间接使用

html/template
,请升级您的go版本。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.