漏洞总结 漏洞概述 Go 1.26.2 和 Go 1.25.9 版本发布,包含 10 个安全修复。主要涉及 RootChmod 符号链接遍历、HTML/Template 模板字面量上下文跟踪以及 crypto/x509 通配符域名 DNS 约束问题。 详细漏洞信息 1. RootChmod 符号链接遍历漏洞 (CVE-2026-23282) 描述:在 Linux 系统上,如果 RootChmod 的目标被符号链接替换,而 chmod 操作正在进行中,RootChmod 可能会操作符号链接指向的目标,即使该目标位于根目录之外。 原因:Linux 的 系统调用通常忽略 标志。RootChmod 原本使用此标志来避免符号链接遍历,并检查目标是否在根目录内。但如果目标在检查后被符号链接替换,则会产生问题。 修复方案:在 Linux 上,RootChmod 现在使用 系统调用(如果可用),并使用 作为变通方法。 2. HTML/Template 模板字面量上下文跟踪漏洞 (CVE-2026-23289) 描述:JS 模板字面量中的上下文未正确跟踪。 原因:在 JS 模板字面量中,上下文未正确跟踪,导致在分支中使用模板时可能出现不正确的内容转义。此外,JS 模板字面量内的模板操作未正确跟踪大括号深度,导致应用了不正确的转义。 影响:可能导致 JS 模板字面量中的操作被错误地或不正确地转义,从而导致 XSS 漏洞。仅影响使用 JS 模板字面量内模板操作的模板。 修复方案:修复了上下文跟踪和括号深度跟踪逻辑。 3. crypto/x509 通配符域名 DNS 约束漏洞 描述:排除的 DNS 约束未正确应用于通配符域名。 原因:在验证包含排除 DNS 约束的证书链时,这些约束未正确应用于使用不同大小写的通配符 DNS SANs。例如,如果证书包含 DNS 名称 ,而排除的 DNS 名称是 ,则约束将不会应用。 修复方案:修复了通配符域名的 DNS 约束应用逻辑(确保大小写不敏感)。 修复方案 升级至 Go 1.26.2 或 Go 1.25.9 版本以应用上述安全修复。