cmd/go: 恶意模块代理可绕过校验和数据库 (CVE-2026-42501) 漏洞概述 Go 语言的 命令在验证模块校验和时存在缺陷,允许恶意模块代理(Module Proxy)绕过校验和数据库(Checksum Database)的验证。攻击者可以通过提供篡改后的 Go 工具链或模块,利用此漏洞执行任意代码或破坏构建过程。 影响范围 受影响用户:所有使用不受信任的模块代理( )或校验和数据库( )的 Go 用户。 风险场景: - 当 环境变量指向代理提供的工具链时。 - 当代理返回错误的校验和响应或篡改的 文件时。 - 用户运行 或 时可能重新验证受影响的依赖。 修复方案 升级 Go 版本:用户应升级其基础 Go 工具链至安全版本。 设置固定工具链:将 设置为固定版本,避免自动下载未经验证的工具链。 代码修复:Go 团队已发布补丁,确保 正确检查校验和数据库响应,验证模块签名是否存在且匹配预期。 相关链接 CVE 编号:CVE-2026-42501 Go Issue:https://go.dev/issue/79070 报告者:Mundur (https://github.com/MondD) 备注 此漏洞在私有跟踪中报告,并通过 CherryPickApprove 流程修复。 修复已提交至 和 分支。