Katalog CVE

CVE-2025-11065

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.36%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

W bibliotece mapstructure dla języka Go wykryto podatność polegającą na ujawnianiu informacji przez szczegółowe komunikaty błędów. Funkcja WeakDecode może zwracać wrażliwe dane wejściowe w komunikatach o błędach podczas przetwarzania nieprawidłowo sformatowanych danych.

Ocena ryzyka

Organizacja narażona jest na wyciek poufnych informacji, takich jak hasła, klucze API czy dane osobowe, które mogą zostać ujawnione w logach lub odpowiedziach systemu. Może to prowadzić do naruszenia bezpieczeństwa danych i zgodności z regulacjami.

Rekomendacja

Należy zaktualizować bibliotekę github.com/go-viper/mapstructure/v2 do najnowszej wersji zawierającej poprawkę. W międzyczasie zaleca się unikanie używania funkcji WeakDecode w kontekstach krytycznych dla bezpieczeństwa oraz wyłączenie szczegółowych komunikatów błędów w środowisku produkcyjnym.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in github.com/go-viper/mapstructure/v2, in the field processing component using mapstructure.WeakDecode. This vulnerability allows information disclosure through detailed error messages that may leak sensitive input values via malformed user-supplied data processed in security-critical contexts.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS