Golang 1.25.x < 1.25.8 / 1.26.x < 1.26.1 多个漏洞

medium Nessus 插件 ID 301252

语言：

简介

远程主机上安装的应用程序受到多个漏洞的影响。

描述

远程主机上运行的 Golang 版本低于 1.25.8 或为低于 1.26.1 的 1.26.x 版。因此会受到公告中提及的多个漏洞影响。

- Go 标准库函数 net/url.Parse 未充分验证主机/颁发机构组件并通过将 IP 常量之前的垃圾有效地视为可忽略来接受一些无效 URL。该函数应将其视为无效而拒绝。为防止此行为net/url.Parse 现在会拒绝不是出现在 URL 的主机子组件开头的 IPv6 文字。 (CVE-2026-25679)

- Unix 平台上的 os.Root 中存在 TOCTOU检查时间/时间使用时间争用条件。File.ReadDir 和 File.Readdir 方法使用 lstat 填充 os.FileInfo这可通过符号链接争用条件转义根边界。攻击者可以通过将目录替换为指向列出目录内容与调用 DirEntry.Info() 之间的根的符号链接来利用此漏洞从而允许检索根之外的文件的文件元数据(大小、修改时间、权限)。这不允许在根之外读取或写入文件。
(CVE-2026-27139)

- 将 URL 插入 HTML 元标记的内容属性的操作未转义。如果 meta 标签也具有值为“refresh”的 http-equiv 属性则可允许 XSS。添加了新的 GODEBUG 设置 htmlmetacontenturlescape可用于在元内容属性中通过设置 htmlmetacontenturlescape=0 遵循“url=”禁用操作中的 URL 转义。 (CVE-2026-27142)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。