CVE-2025-11065
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 - wyżej niż 28% wszystkich znanych CVE
Streszczenie
W bibliotece mapstructure dla języka Go wykryto podatność polegającą na ujawnianiu informacji przez szczegółowe komunikaty błędów. Funkcja WeakDecode może zwracać wrażliwe dane wejściowe w komunikatach o błędach podczas przetwarzania nieprawidłowo sformatowanych danych.
Ocena ryzyka
Organizacja narażona jest na wyciek poufnych informacji, takich jak hasła, klucze API czy dane osobowe, które mogą zostać ujawnione w logach lub odpowiedziach systemu. Może to prowadzić do naruszenia bezpieczeństwa danych i zgodności z regulacjami.
Rekomendacja
Należy zaktualizować bibliotekę github.com/go-viper/mapstructure/v2 do najnowszej wersji zawierającej poprawkę. W międzyczasie zaleca się unikanie używania funkcji WeakDecode w kontekstach krytycznych dla bezpieczeństwa oraz wyłączenie szczegółowych komunikatów błędów w środowisku produkcyjnym.
Oryginalny opis (angielski, źródło NVD)
A flaw was found in github.com/go-viper/mapstructure/v2, in the field processing component using mapstructure.WeakDecode. This vulnerability allows information disclosure through detailed error messages that may leak sensitive input values via malformed user-supplied data processed in security-critical contexts.

