CVE-2019-14809

net/url in Go before 1.11.13 and 1.12.x before 1.12.8 mishandles malformed hosts in URLs, leading to an authorization bypass in some applications. This is related to a Host field with a suffix appearing in neither Hostname() nor Port(), and is related to a non-numeric port number. For example, an attacker can compose a crafted javascript:// URL that results in a hostname of google.com.

Published : 2019-08-13 21:15 Updated : 2019-08-24 18:15

7.5
CVSS Score More info
Score 7.5 / 10
7.5
Vendor Product Version URI
Golang Go 1.0 cpe:/a:golang:go:1.0
Golang Go 1.0.1 cpe:/a:golang:go:1.0.1
Golang Go 1.0.2 cpe:/a:golang:go:1.0.2
Golang Go 1.0.3 cpe:/a:golang:go:1.0.3
Golang Go 1.1 cpe:/a:golang:go:1.1:-
Golang Go 1.1 cpe:/a:golang:go:1.1:rc2
Golang Go 1.1 cpe:/a:golang:go:1.1:rc3
Golang Go 1.1.1 cpe:/a:golang:go:1.1.1
Golang Go 1.1.2 cpe:/a:golang:go:1.1.2
Golang Go 1.2 cpe:/a:golang:go:1.2:-
Golang Go 1.2 cpe:/a:golang:go:1.2:rc2
Golang Go 1.2 cpe:/a:golang:go:1.2:rc3
Golang Go 1.2 cpe:/a:golang:go:1.2:rc4
Golang Go 1.2 cpe:/a:golang:go:1.2:rc5
Golang Go 1.2.1 cpe:/a:golang:go:1.2.1
Golang Go 1.2.2 cpe:/a:golang:go:1.2.2
Golang Go 1.3 cpe:/a:golang:go:1.3:-
Golang Go 1.3 cpe:/a:golang:go:1.3:beta1
Golang Go 1.3 cpe:/a:golang:go:1.3:beta2
Golang Go 1.3 cpe:/a:golang:go:1.3:rc1
Golang Go 1.3 cpe:/a:golang:go:1.3:rc2
Golang Go 1.3.1 cpe:/a:golang:go:1.3.1
Golang Go 1.3.2 cpe:/a:golang:go:1.3.2
Golang Go 1.3.3 cpe:/a:golang:go:1.3.3
Golang Go 1.4 cpe:/a:golang:go:1.4:-
Golang Go 1.4 cpe:/a:golang:go:1.4:beta1
Golang Go 1.4 cpe:/a:golang:go:1.4:rc1
Golang Go 1.4 cpe:/a:golang:go:1.4:rc2
Golang Go 1.4.1 cpe:/a:golang:go:1.4.1
Golang Go 1.4.2 cpe:/a:golang:go:1.4.2
Golang Go 1.4.3 cpe:/a:golang:go:1.4.3
Golang Go 1.5 cpe:/a:golang:go:1.5:-
Golang Go 1.5 cpe:/a:golang:go:1.5:beta1
Golang Go 1.5 cpe:/a:golang:go:1.5:beta2
Golang Go 1.5 cpe:/a:golang:go:1.5:beta3
Golang Go 1.5 cpe:/a:golang:go:1.5:rc1
Golang Go 1.5.1 cpe:/a:golang:go:1.5.1
Golang Go 1.5.2 cpe:/a:golang:go:1.5.2
Golang Go 1.5.3 cpe:/a:golang:go:1.5.3
Golang Go 1.5.4 cpe:/a:golang:go:1.5.4
Golang Go 1.6 cpe:/a:golang:go:1.6
Golang Go 1.6 cpe:/a:golang:go:1.6:-
Golang Go 1.6 cpe:/a:golang:go:1.6:beta1
Golang Go 1.6 cpe:/a:golang:go:1.6:beta2
Golang Go 1.6 cpe:/a:golang:go:1.6:rc1
Golang Go 1.6 cpe:/a:golang:go:1.6:rc2
Golang Go 1.6.1 cpe:/a:golang:go:1.6.1
Golang Go 1.6.2 cpe:/a:golang:go:1.6.2
Golang Go 1.6.3 cpe:/a:golang:go:1.6.3
Golang Go 1.6.4 cpe:/a:golang:go:1.6.4
Golang Go 1.7 cpe:/a:golang:go:1.7:-
Golang Go 1.7 cpe:/a:golang:go:1.7:beta1
Golang Go 1.7 cpe:/a:golang:go:1.7:beta2
Golang Go 1.7 cpe:/a:golang:go:1.7:rc1
Golang Go 1.7 cpe:/a:golang:go:1.7:rc2
Golang Go 1.7 cpe:/a:golang:go:1.7:rc3
Golang Go 1.7 cpe:/a:golang:go:1.7:rc4
Golang Go 1.7 cpe:/a:golang:go:1.7:rc5
Golang Go 1.7 cpe:/a:golang:go:1.7:rc6
Golang Go 1.7.1 cpe:/a:golang:go:1.7.1
Golang Go 1.7.2 cpe:/a:golang:go:1.7.2
Golang Go 1.7.3 cpe:/a:golang:go:1.7.3
Golang Go 1.7.4 cpe:/a:golang:go:1.7.4
Golang Go 1.7.5 cpe:/a:golang:go:1.7.5
Golang Go 1.7.6 cpe:/a:golang:go:1.7.6
Golang Go 1.8 cpe:/a:golang:go:1.8:-
Golang Go 1.8 cpe:/a:golang:go:1.8:beta1
Golang Go 1.8 cpe:/a:golang:go:1.8:beta2
Golang Go 1.8 cpe:/a:golang:go:1.8:rc1
Golang Go 1.8 cpe:/a:golang:go:1.8:rc2
Golang Go 1.8 cpe:/a:golang:go:1.8:rc3
Golang Go 1.8.1 cpe:/a:golang:go:1.8.1
Golang Go 1.8.2 cpe:/a:golang:go:1.8.2
Golang Go 1.8.3 cpe:/a:golang:go:1.8.3
Golang Go 1.8.4 cpe:/a:golang:go:1.8.4
Golang Go 1.8.5 cpe:/a:golang:go:1.8.5:-
Golang Go 1.8.5 cpe:/a:golang:go:1.8.5:rc4
Golang Go 1.8.5 cpe:/a:golang:go:1.8.5:rc5
Golang Go 1.8.6 cpe:/a:golang:go:1.8.6
Golang Go 1.8.7 cpe:/a:golang:go:1.8.7
Golang Go 1.9 cpe:/a:golang:go:1.9:-
Golang Go 1.9 cpe:/a:golang:go:1.9:beta1
Golang Go 1.9 cpe:/a:golang:go:1.9:beta2
Golang Go 1.9 cpe:/a:golang:go:1.9:rc1
Golang Go 1.9 cpe:/a:golang:go:1.9:rc2
Golang Go 1.9.1 cpe:/a:golang:go:1.9.1
Golang Go 1.9.2 cpe:/a:golang:go:1.9.2
Golang Go 1.9.3 cpe:/a:golang:go:1.9.3
Golang Go 1.9.4 cpe:/a:golang:go:1.9.4
Golang Go 1.9.5 cpe:/a:golang:go:1.9.5
Golang Go 1.9.6 cpe:/a:golang:go:1.9.6
Golang Go 1.9.7 cpe:/a:golang:go:1.9.7
Golang Go 1.10 cpe:/a:golang:go:1.10:-
Golang Go 1.10 cpe:/a:golang:go:1.10:beta1
Golang Go 1.10 cpe:/a:golang:go:1.10:beta2
Golang Go 1.10 cpe:/a:golang:go:1.10:rc1
Golang Go 1.10 cpe:/a:golang:go:1.10:rc2
Golang Go 1.10.1 cpe:/a:golang:go:1.10.1
Golang Go 1.10.2 cpe:/a:golang:go:1.10.2
Golang Go 1.10.3 cpe:/a:golang:go:1.10.3
Golang Go 1.10.4 cpe:/a:golang:go:1.10.4
Golang Go 1.10.5 cpe:/a:golang:go:1.10.5
Golang Go 1.10.6 cpe:/a:golang:go:1.10.6
Golang Go 1.10.7 cpe:/a:golang:go:1.10.7
Golang Go 1.11.0 cpe:/a:golang:go:1.11.0:-
Golang Go 1.11.0 cpe:/a:golang:go:1.11.0:beta1
Golang Go 1.11.0 cpe:/a:golang:go:1.11.0:beta2
Golang Go 1.11.0 cpe:/a:golang:go:1.11.0:beta3
Golang Go 1.11.0 cpe:/a:golang:go:1.11.0:rc1
Golang Go 1.11.0 cpe:/a:golang:go:1.11.0:rc2
Golang Go 1.11.1 cpe:/a:golang:go:1.11.1
Golang Go 1.11.2 cpe:/a:golang:go:1.11.2
Golang Go 1.11.3 cpe:/a:golang:go:1.11.3
Golang Go 1.11.4 cpe:/a:golang:go:1.11.4
Golang Go 1.11.5 cpe:/a:golang:go:1.11.5
Golang Go 1.11.6 cpe:/a:golang:go:1.11.6
Golang Go 1.11.7 cpe:/a:golang:go:1.11.7
Golang Go 1.11.8 cpe:/a:golang:go:1.11.8
Golang Go 1.11.9 cpe:/a:golang:go:1.11.9
Golang Go 1.11.10 cpe:/a:golang:go:1.11.10
Golang Go 1.11.11 cpe:/a:golang:go:1.11.11
Golang Go 1.11.12 cpe:/a:golang:go:1.11.12
Golang Go 1.12.0 cpe:/a:golang:go:1.12.0
Golang Go 1.12.0 cpe:/a:golang:go:1.12.0:-
Golang Go 1.12.0 cpe:/a:golang:go:1.12.0:beta1
Golang Go 1.12.0 cpe:/a:golang:go:1.12.0:beta2
Golang Go 1.12.0 cpe:/a:golang:go:1.12.0:rc1
Golang Go 1.12.1 cpe:/a:golang:go:1.12.1
Golang Go 1.12.2 cpe:/a:golang:go:1.12.2
Golang Go 1.12.3 cpe:/a:golang:go:1.12.3
Golang Go 1.12.4 cpe:/a:golang:go:1.12.4
Golang Go 1.12.5 cpe:/a:golang:go:1.12.5
Golang Go 1.12.6 cpe:/a:golang:go:1.12.6
Golang Go 1.12.7 cpe:/a:golang:go:1.12.7
Debian Debian Linux 10.0 cpe:/o:debian:debian_linux:10.0
  1. Debian (1) Search CVE
    1. Debian Linux (1) Search CVE
      1. 10.0
  2. Golang (1) Search CVE
    1. Go (80) Search CVE
      1. 1.0
      2. 1.0.1
      3. 1.0.2
      4. 1.0.3
      5. 1.1
      6. 1.1.1
      7. 1.1.2
      8. 1.2
      9. 1.2.1
      10. 1.2.2
      11. 1.3
      12. 1.3.1
      13. 1.3.2
      14. 1.3.3
      15. 1.4
      16. 1.4.1
      17. 1.4.2
      18. 1.4.3
      19. 1.5
      20. 1.5.1
      21. 1.5.2
      22. 1.5.3
      23. 1.5.4
      24. 1.6
      25. 1.6.1
      26. 1.6.2
      27. 1.6.3
      28. 1.6.4
      29. 1.7
      30. 1.7.1
      31. 1.7.2
      32. 1.7.3
      33. 1.7.4
      34. 1.7.5
      35. 1.7.6
      36. 1.8
      37. 1.8.1
      38. 1.8.2
      39. 1.8.3
      40. 1.8.4
      41. 1.8.5
      42. 1.8.6
      43. 1.8.7
      44. 1.9
      45. 1.9.1
      46. 1.9.2
      47. 1.9.3
      48. 1.9.4
      49. 1.9.5
      50. 1.9.6
      51. 1.9.7
      52. 1.10
      53. 1.10.1
      54. 1.10.2
      55. 1.10.3
      56. 1.10.4
      57. 1.10.5
      58. 1.10.6
      59. 1.10.7
      60. 1.11.0
      61. 1.11.1
      62. 1.11.2
      63. 1.11.3
      64. 1.11.4
      65. 1.11.5
      66. 1.11.6
      67. 1.11.7
      68. 1.11.8
      69. 1.11.9
      70. 1.11.10
      71. 1.11.11
      72. 1.11.12
      73. 1.12.0
      74. 1.12.1
      75. 1.12.2
      76. 1.12.3
      77. 1.12.4
      78. 1.12.5
      79. 1.12.6
      80. 1.12.7

CWE

ID Name Description Links
CWE-20 Improper Input Validation The product does not validate or incorrectly validates input that can affect the control flow or data flow of a program. CVE

History of changes

Date Event
2019-08-24 18:15
2019-08-21 18:34
2019-08-13 21:15

New CVE