漏洞总结 漏洞概述 漏洞编号:CVE-2026-42499 问题描述: 包中的 函数在处理恶意构造的邮件地址时,存在二次方复杂度的字符串拼接问题,可能导致拒绝服务(DoS)。 触发条件:解析符合 RFC 5322 的邮件地址时,输入恶意构造的短语(phrase)部分。 关联问题: - : ParseAddress 二次方复杂度 (consumeComment #78566) - : ParseAddress 中 CPU 消耗过高 (CVE-2023-61725, #75680) 影响范围 受影响组件:Go 标准库 影响版本:未明确列出具体版本,但修复已提交至多个分支(master, go1.25, go1.26) 风险等级:Security(安全) 修复方案 修复状态:已关闭(Closed),由 于 18 分钟前关闭。 修复提交: - 主分支: - Go 1.25 分支: - Go 1.26 分支: 补丁说明:修复 中的二次方字符串拼接行为,避免 CPU 资源耗尽。 后续动作: - 已创建 cherry-pick CLs 用于发布。 - 相关 backport 问题:#79003 (go1.25), #79004 (go1.26) - 其他相关修复: 包中 也存在二次方复杂度问题(#79217) > 注:页面中未提供 POC 代码或可利用代码片段。