漏洞关键信息总结 1. 漏洞概述 CVE编号: CVE-2026-32280 漏洞类型: 拒绝服务 (DoS) / 资源耗尽 问题描述: 在 Go 语言的 包中, 函数在处理包含大量候选父证书的中间证书池时,会出现病态的慢速(Pathological slowness)。 根本原因: 函数在递归遍历候选证书时,其循环预防机制 不够严格(仅检查 subject 和 SAN extension 是否匹配)。这导致大量相似的中间证书被视为不同,使得验证器在达到签名检查限制之前,对大量候选者进行了不必要的链构建尝试,消耗大量 CPU 资源。 2. 影响范围 受影响组件: 包。 受影响版本: Go 1.25, Go 1.26 (以及 Go 1.27 开发版)。 触发场景: TLS mTLS 设置中,当服务器配置为验证客户端证书(如 或 )时。 任何应用程序调用 并传入攻击者控制的中间证书池时。 3. 修复方案 修复内容: 优化了 中的链构建逻辑,优先处理潜在的父证书。 修复了签名检查限制(signature checking limit),确保一旦验证失败路径确定,不再继续支付剩余候选者的链构建成本。 相关修复提交/PR: 涉及分支: , 。