Wiz
Base de données de vulnérabilitésCVE-2025-58189

CVE-2025-58189
cAdvisor Analyse et atténuation des vulnérabilités

Aperçu

CVE-2025-58189 is a security vulnerability discovered in the Go programming language's crypto/tls package, specifically affecting versions before Go 1.24.8 and from Go 1.25.0 before Go 1.25.2. The vulnerability was disclosed on October 29, 2025, and affects the ALPN (Application-Layer Protocol Negotiation) negotiation process. The issue was reported by the National Cyber Security Centre Finland (Golang Announce, Ubuntu Security).

Détails techniques

The vulnerability occurs when Conn.Handshake fails during ALPN negotiation, where the error returned on the server-side contains arbitrary attacker-controlled information provided by the client-side of the connection without proper escaping. The vulnerability has been assigned a CVSS 3.1 base score of 5.3 (Medium), with the vector string CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N, indicating network vector access, low attack complexity, and no required privileges or user interaction (Ubuntu Security).

Impact

This vulnerability affects programs that log these errors without additional sanitization, potentially allowing injection of attacker-controlled information into logs. The impact is primarily related to information disclosure through log injection, though the overall severity is considered relatively limited as most logging software typically filters control characters (Go Issue).

Atténuation et solutions de contournement

The vulnerability has been fixed in Go versions 1.24.8 and 1.25.2. Users are advised to upgrade to these versions or later to address the issue. The fix was implemented through commits 205d0865958a6d2342939f62dfeaf47508101976 (go1.25.2) and 2e1e356e33b9c792a9643749a7626a1789197bb9 (go1.24.8) (Debian Security).

Ressources additionnelles

SourceCe rapport a été généré à l’aide de l’IA

Apparenté cAdvisor Vulnérabilités:

Identifiant CVE

Sévérité

Score

Technologies

Nom du composant

Exploit CISA KEV

A corrigé

Date de publication

CVE-2025-61725HIGH7.5
  • cAdvisorcAdvisor
  • kubeflow
NonOuiOct 29, 2025
CVE-2025-61723HIGH7.5
  • cAdvisorcAdvisor
  • containerd-debuginfo
NonOuiOct 29, 2025
CVE-2025-58188HIGH7.5
  • cAdvisorcAdvisor
  • argo-rollouts
NonOuiOct 29, 2025
CVE-2025-61724MEDIUM5.3
  • cAdvisorcAdvisor
  • boring-registry-fips
NonOuiOct 29, 2025
CVE-2025-58189MEDIUM5.3
  • cAdvisorcAdvisor
  • cloud-provider-azure-fips-1.29
NonOuiOct 29, 2025

Évaluation gratuite des vulnérabilités

Évaluez votre posture de sécurité dans le cloud

Évaluez vos pratiques de sécurité cloud dans 9 domaines de sécurité pour évaluer votre niveau de risque et identifier les failles dans vos défenses.

Demander une évaluation

Ressources Wiz supplémentaires

PEACH

PEACH

Un cadre d’isolation des locataires

Obtenez une démo personnalisée

Prêt(e) à voir Wiz en action ?

"La meilleure expérience utilisateur que j’ai jamais vue, offre une visibilité totale sur les workloads cloud."
David EstlickRSSI
"Wiz fournit une interface unique pour voir ce qui se passe dans nos environnements cloud."
Adam FletcherChef du service de sécurité
"Nous savons que si Wiz identifie quelque chose comme critique, c’est qu’il l’est réellement."
Greg PoniatowskiResponsable de la gestion des menaces et des vulnérabilités
Demander une démo