From 456819e05a1cb2e2b11047d5a907a7f2b90fd011 Mon Sep 17 00:00:00 2001 From: Matteo Merli Date: Thu, 15 Jan 2026 11:53:24 -0800 Subject: [PATCH] Update Go version from 1.25.0 to 1.25.5 MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit Fix CVEs in stdlib: ``` pulsar/bin/pulsarctl (gobinary) Total: 13 (UNKNOWN: 0, LOW: 0, MEDIUM: 11, HIGH: 2, CRITICAL: 0) ┌─────────┬────────────────┬──────────┬────────┬───────────────────┬─────────────────┬──────────────────────────────────────────────────────────────┐ │ Library │ Vulnerability │ Severity │ Status │ Installed Version │ Fixed Version │ Title │ ├─────────┼────────────────┼──────────┼────────┼───────────────────┼─────────────────┼──────────────────────────────────────────────────────────────┤ │ stdlib │ CVE-2025-58183 │ HIGH │ fixed │ v1.25.0 │ 1.24.8, 1.25.2 │ golang: archive/tar: Unbounded allocation when parsing GNU │ │ │ │ │ │ │ │ sparse map │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58183 │ │ ├────────────────┤ │ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61729 │ │ │ │ 1.24.11, 1.25.5 │ crypto/x509: golang: Denial of Service due to excessive │ │ │ │ │ │ │ │ resource consumption via crafted... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61729 │ │ ├────────────────┼──────────┤ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47910 │ MEDIUM │ │ │ 1.25.1 │ net/http: CrossOriginProtection bypass in net/http │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47910 │ │ ├────────────────┤ │ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-47912 │ │ │ │ 1.24.8, 1.25.2 │ net/url: Insufficient validation of bracketed IPv6 hostnames │ │ │ │ │ │ │ │ in net/url │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-47912 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58185 │ │ │ │ │ encoding/asn1: Parsing DER payload can cause memory │ │ │ │ │ │ │ │ exhaustion in encoding/asn1 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58185 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58186 │ │ │ │ │ golang.org/net/http: Lack of limit when parsing cookies can │ │ │ │ │ │ │ │ cause memory exhaustion in... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58186 │ │ ├────────────────┤ │ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58187 │ │ │ │ 1.24.9, 1.25.3 │ crypto/x509: Quadratic complexity when checking name │ │ │ │ │ │ │ │ constraints in crypto/x509 │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58187 │ │ ├────────────────┤ │ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58188 │ │ │ │ 1.24.8, 1.25.2 │ crypto/x509: golang: Panic when validating certificates with │ │ │ │ │ │ │ │ DSA public keys in crypto/x509... │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58188 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-58189 │ │ │ │ │ crypto/tls: go crypto/tls ALPN negotiation error contains │ │ │ │ │ │ │ │ attacker controlled information │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-58189 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61723 │ │ │ │ │ encoding/pem: Quadratic complexity when parsing some invalid │ │ │ │ │ │ │ │ inputs in encoding/pem │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61723 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61724 │ │ │ │ │ net/textproto: Excessive CPU consumption in │ │ │ │ │ │ │ │ Reader.ReadResponse in net/textproto │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61724 │ │ ├────────────────┤ │ │ │ ├──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61725 │ │ │ │ │ net/mail: Excessive CPU consumption in ParseAddress in │ │ │ │ │ │ │ │ net/mail │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61725 │ │ ├────────────────┤ │ │ ├─────────────────┼──────────────────────────────────────────────────────────────┤ │ │ CVE-2025-61727 │ │ │ │ 1.24.11, 1.25.5 │ golang: crypto/x509: excluded subdomain constraint does not │ │ │ │ │ │ │ │ restrict wildcard SANs │ │ │ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2025-61727 │ └─────────┴────────────────┴──────────┴────────┴───────────────────┴─────────────────┴──────────────────────────────────────────────────────────────┘ ``` --- go.mod | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/go.mod b/go.mod index cc814f6ca..39b40d190 100644 --- a/go.mod +++ b/go.mod @@ -1,6 +1,6 @@ module github.com/streamnative/pulsarctl -go 1.25.0 +go 1.25.5 require ( github.com/apache/pulsar-client-go v0.18.0-candidate-1.0.20251222030102-3bb7d4eff361