关键漏洞信息 1. net/http: 敏感头部在跨源重定向时未清除 问题描述: Proxy-Authorization 和 Proxy-Authenticate 头部在跨源重定向时仍然存在,可能导致敏感信息泄露。 CVE编号: CVE-2025-4673 Go issue: https://go.dev/issue/73816 报告者: Takeshi Kaneko (GMO Cybersecurity by lerae, Inc.) 2. os: 在 Unix 和 Windows 上对 O_CREATE 问题描述: 当目标路径是悬空符号链接时,os.OpenFile(path, os.O_CREATE CVE编号: CVE-2025-0913 Go issue: https://go.dev/issue/73702 报告者: Junyoung Park 和 Dong-uk Kim of KAIST Hacking Lab 3. crypto/x509: 使用 ExtKeyUsageAny 禁用策略验证 问题描述: 使用包含 ExtKeyUsageAny 的 VerifyOptions.KeyUsages 调用 Verify 会无意中禁用策略验证,影响包含策略图的证书链(较为罕见)。 CVE编号: CVE-2025-22874 Go issue: https://go.dev/issue/73612 报告者: Krzysztof Skrzętnicki (@Tener) of Teleport ``` 这些关键信息总结了 Go 1.24.4 和 Go 1.23.10 版本中修复的三个安全漏洞,包括问题描述、CVE 编号、相关 Go issue 链接以及报告者。