一、 漏洞 CVE-2025-4674 基础信息
漏洞信息
# 未受信任的VCS仓库中的意外命令执行漏洞
## 概述
Go 命令在操作不受信任的版本控制系统(VCS)仓库时,可能执行意外命令。该漏洞源于仓库中可能存在恶意或危险的 VCS 配置。
## 影响版本
所有受问题 VCS 配置影响的 Go 版本。
## 细节
在某些情况下,如果仓库通过一种 VCS(如 Git)获取,但包含另一种 VCS(如 Mercurial)的元数据,`go` 命令在处理该仓库时可能执行非预期的操作。
## 影响
攻击者可能利用此问题在用户的系统上执行任意命令,前提是用户在恶意构建的仓库中执行了 `go` 操作。但通过 `go get` 获取的模块不受影响。
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
Unexpected command execution in untrusted VCS repositories in cmd/go
来源:美国国家漏洞数据库 NVD
漏洞描述信息
The go command may execute unexpected commands when operating in untrusted VCS repositories. This occurs when possibly dangerous VCS configuration is present in repositories. This can happen when a repository was fetched via one VCS (e.g. Git), but contains metadata for another VCS (e.g. Mercurial). Modules which are retrieved using the go command line, i.e. via "go get", are not affected.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Google Go 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Google Go是美国谷歌(Google)公司的一种静态强类型、编译型、并发型,并具有垃圾回收功能的编程语言。 Google Go存在安全漏洞,该漏洞源于在不受信任的VCS存储库中执行意外命令,可能导致任意代码执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-4674 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2025-4674 的情报信息
-
标题: cmd/go: disable support for multiple vcs in one module (686515) · Gerrit Code Review -- 🔗来源链接
标签:
神龙速读
-
标题: cmd/go: unexpected command execution in untrusted VCS repositories CVE-2025-4674 · Issue #74380 · golang/go -- 🔗来源链接
标签:
神龙速读
-
![[security] Go 1.24.5 and Go 1.23.11 are released](https://cvepdf.imfht.com:2443//ti_screenshot/2025-07-30/screenshot-full-2025-07-30T16-37-37.882Z-2e38ee33923f0759c168.webp)
-
- https://nvd.nist.gov/vuln/detail/CVE-2025-4674
四、漏洞 CVE-2025-4674 的评论
暂无评论