golang.org/x/net v0.55.0 安全更新：修复CVE-2026-42505 XSS及CVE-2026-39821权限提升漏洞

漏洞总结：golang.org/x/net v0.55.0 安全更新 漏洞概述 Go 语言团队发布了 的 v0.55.0 版本，旨在修复以下安全漏洞： 1. HTML 解析器错误处理命名空间元素： - 问题：HTML 解析器错误处理了某些命名空间元素，导致在渲染 HTML 时可能引发 XSS（跨站脚本攻击）。 - CVE 编号：CVE-2026-42505 - Go 问题链接：https://go.dev/issue/79571 2. x/net/html 未能拒绝 ASCII-only Punycode 编码标签： - 问题：ToASCII 和 ToUnicode 函数错误地接受了 Punycode 编码标签，这些标签解码为 ASCII-only 标签。例如， 错误地返回了名称 而不是错误。 - CVE 编号：CVE-2026-39821 - Go 问题链接：https://go.dev/issue/78760 3. idna 包实现 UTS 46 处理算法中的错误： - 问题：idna 包实现了 UTS 46 处理算法中的错误，旧版本的 UTS 46 包含了一个允许将多个 ASCII 标签解码为相同 Unicode 标签的规范错误。UTS 46 修订版 33 修复了该规范错误。idna 包现在实现了更新的规范。 - 影响：此行为可能导致使用 idna 包的程序中的权限提升。例如，一个程序可能对 ASCII 主机名执行权限检查，但允许 。如果该程序随后将 ASCII 主机名转换为 Unicode，它将无意中允许访问 Unicode 名称 。 - CVE 编号：CVE-2026-42502 - Go 问题链接：https://go.dev/issue/79572 4. HTML 解析器错误处理 HTML 元素： - 问题：HTML 解析器错误处理了某些 HTML 元素，导致在渲染 HTML 时可能引发 XSS。 - CVE 编号：CVE-2026-42502 - Go 问题链接：https://go.dev/issue/79572 5. 解析任意 HTML 时的拒绝服务： - 问题：解析任意 HTML 时可能导致拒绝服务。 - CVE 编号：CVE-2026-42502 - Go 问题链接：https://go.dev/issue/79572 影响范围 HTML 解析器错误处理命名空间元素：可能导致 XSS 攻击。 x/net/html 未能拒绝 ASCII-only Punycode 编码标签：可能导致权限提升。 idna 包实现 UTS 46 处理算法中的错误：可能导致权限提升。 HTML 解析器错误处理 HTML 元素：可能导致 XSS 攻击。 解析任意 HTML 时的拒绝服务：可能导致服务不可用。 修复方案 更新到 v0.55.0：升级到 的 v0.55.0 版本以修复上述所有安全问题。 具体修复措施： - 修复 HTML 解析器对命名空间元素的处理。 - 修复 ToASCII 和 ToUnicode 函数对 Punycode 编码标签的处理。 - 更新 idna 包以遵循 UTS 46 修订版 33 的规范。 - 修复 HTML 解析器对 HTML 元素的处理。 - 优化解析任意 HTML 时的性能，防止拒绝服务。 POC 代码 页面中未提供具体的 POC 代码或利用代码。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

golang.org/x/net v0.55.0 安全更新：修复CVE-2026-42505 XSS及CVE-2026-39821权限提升漏洞

目标达成感谢每一位支持者 — 我们达成了 100% 目标！