CVE-2025-68119

Downloading and building modules with malicious version strings can cause local code execution. On systems with Mercurial (hg) installed, downloading modules from non-standard sources (e.g., custom domains) can cause unexpected code execution due to how external VCS commands are constructed. This issue can also be triggered by providing a malicious version string to the toolchain. On systems with Git installed, downloading and building modules with malicious version strings can allow an attacker to write to arbitrary files on the filesystem. This can only be triggered by explicitly providing the malicious version strings to the toolchain and does not affect usage of @latest or bare module paths.
References
Configurations

Configuration 1 (hide)

OR cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*
cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

History

17 Jun 2026, 09:58

Type Values Removed Values Added
References () https://groups.google.com/g/golang-announce/c/Vd2tYVM8eUc - Release Notes, Mailing List () https://groups.google.com/g/golang-announce/c/Vd2tYVM8eUc - Mailing List, Release Notes
Summary
  • (es) Descargar y construir módulos con cadenas de versión maliciosas puede causar la ejecución de código local. En sistemas con Mercurial (hg) instalado, descargar módulos de fuentes no estándar (por ejemplo, dominios personalizados) puede causar la ejecución de código inesperada debido a cómo se construyen los comandos VCS externos. Este problema también puede ser provocado al proporcionar una cadena de versión maliciosa a la cadena de herramientas. En sistemas con Git instalado, descargar y construir módulos con cadenas de versión maliciosas puede permitir a un atacante escribir en archivos arbitrarios en el sistema de archivos. Esto solo puede ser provocado al proporcionar explícitamente las cadenas de versión maliciosas a la cadena de herramientas y no afecta el uso de @latest o rutas de módulo bare.

06 Feb 2026, 18:40

Type Values Removed Values Added
CWE CWE-787
References () https://go.dev/cl/736710 - () https://go.dev/cl/736710 - Patch
References () https://go.dev/issue/77099 - () https://go.dev/issue/77099 - Issue Tracking, Patch
References () https://groups.google.com/g/golang-announce/c/Vd2tYVM8eUc - () https://groups.google.com/g/golang-announce/c/Vd2tYVM8eUc - Release Notes, Mailing List
References () https://pkg.go.dev/vuln/GO-2026-4338 - () https://pkg.go.dev/vuln/GO-2026-4338 - Vendor Advisory
First Time Golang go
Golang
CPE cpe:2.3:a:golang:go:*:*:*:*:*:*:*:*

29 Jan 2026, 17:16

Type Values Removed Values Added
CVSS v2 : unknown
v3 : unknown
v2 : unknown
v3 : 7.0

28 Jan 2026, 20:16

Type Values Removed Values Added
New CVE

Information

Published : 2026-01-28 20:16

Updated : 2026-06-17 09:58


NVD link : CVE-2025-68119

Mitre link : CVE-2025-68119

CVE.ORG link : CVE-2025-68119


JSON object : View

Products Affected

golang

  • go
CWE
CWE-787

Out-of-bounds Write