关键信息总结 影响的版本 包名: - 受影响版本: - 修复版本: 包名: - 受影响版本: - 修复版本: 漏洞描述 严重性: Critical (CVSS v3.1: ) CWE: CWE-252, CWE-131 CVE ID: CVE-2025-96565 漏洞细节 影响的函数: 和 问题根源: 当 Golang 的 模块在生成随机数时可能失败的情况下,这些函数会退回到生成可预测的UUID值(零UUID)。 攻击场景: 当 读取失败时,由于没有相应的错误处理,导致创建可预测的UUID,带来严重的安全风险。 漏洞影响 安全性影响: 包含会话劫持 / 通用会话劫持 ; CSRF令牌可预测性和绕过 ; 鉴权令牌回放 ; 全局识别符碰撞导致严重应用故障 ; 潜在的应用级DoS攻击等。 缓解措施 短期问题处理: - 替代使用 函数。 推荐修正: 修改源代码,当生成加密随机性不可用时,明确失败。 检测方法 可以通过审查应用中是否使用了相关的函数以及进行代码审计手段来检测是否受此漏洞影响。 联系与参考 作者经由 报告,原文参考了GitHub中相关的组件等。 注意:此信息以照片中内容为依据,包含CVSS评分、漏洞影响等具有权威性,供安全相关工作阅读分析。