Golang 1.25.x < 1.25.9 / 1.26.x < 1.26.2 多个漏洞
critical Nessus 插件 ID 305686
语言:
简介
远程主机上安装的应用程序受到多个漏洞的影响。描述
远程主机上运行的 Golang 版本为低于 1.25.9的 1.25.x 或低于 1.26.x 的 1.26.2。因此,该应用程序受到多个漏洞的影响,其中包括:- 未正确检查循环中引发变量的算术下溢或上溢。因此编译器将允许运行时发生无效索引从而可能导致内存损坏。
(CVE-2026-27143)
- 包含“cgo”和精心构建的负载的 SWIG 文件名称中存在信任层绕过可能会导致代码走私和构建时执行任意代码。 (CVE-2026-27140)
- 此编译器预期会解开作为内存移动操作数的指针no-op 接口转换阻止编译器做出关于非重叠移动的正确确定可能导致运行时的内存损坏。 (CVE-2026-27144)
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
升级到 Golang Go 1.25.9、1.26.2 或更高版本。另见
插件详情
严重性: Critical
ID: 305686
文件名: golang_1_25_9_1_26_2.nasl
版本: 1.1
类型: Local
代理: windows, macosx, unix
系列: Misc.
发布时间: 2026/4/9
最近更新时间: 2026/4/9
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: High
分数: 7.4
CVSS v2
风险因素: High
基本分数: 7.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2026-27143
CVSS v3
风险因素: Critical
基本分数: 9.8
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
漏洞信息
CPE: cpe:/a:golang:go
必需的 KB 项: installed_sw/Golang Go Programming Language
补丁发布日期: 2026/4/7
漏洞发布日期: 2026/4/7
参考资料信息
CVE: CVE-2026-27140, CVE-2026-27143, CVE-2026-27144, CVE-2026-32280, CVE-2026-32281, CVE-2026-32282, CVE-2026-32283, CVE-2026-32288, CVE-2026-32289, CVE-2026-33810