漏洞标题
由 JSON 序列化返回的错误可能会导致 html/template 中的模板转义功能出错。
漏洞描述信息
如果从`MarshalJSON`方法返回的错误包含用户可控制的数据,那么这些数据可能会被用来打破`html/template`包中基于上下文的自动转义行为,从而允许后续操作将意外内容注入到模板中。
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
漏洞标题
Errors returned from JSON marshaling may break template escaping in html/template
漏洞描述信息
If errors returned from MarshalJSON methods contain user controlled data, they may be used to break the contextual auto-escaping behavior of the html/template package, allowing for subsequent actions to inject unexpected content into templates.
CVSS信息
N/A
漏洞类别
N/A
漏洞标题
Google Go 安全漏洞
漏洞描述信息
Google Go是美国谷歌(Google)公司的一种静态强类型、编译型、并发型,并具有垃圾回收功能的编程语言。 Google Go 存在安全漏洞。攻击者利用该漏洞将意外内容注入到模板中。
CVSS信息
N/A
漏洞类别
其他