Golang 1.25.x < 1.25.8 / 1.26.x < 1.26.1 多個弱點

medium Nessus Plugin ID 301252

語言:

概要

遠端主機上安裝的應用程式受到多個弱點影響。

說明

遠端主機上執行的 Golang 為 1.25.8 之前版本，或是 1.26.1 之前的 1.26.x 版。因此會受到公告中提及的多個弱點影響。

- Go 標準程式庫函式 net/url.Parse 對 host/authority 元件的驗證不足而且會透過有效地將 IP-literal 前面的垃圾視為可忽略來接受一些無效的 URL。函式應將此視為無效而予以拒絕。為防止此行為net/url.Parse 現在會拒絕未出現在 URL 主機子元件開頭的 IPv6 常值。 (CVE-2026-25679)

- Unix 平台的 os.Root 中存在一個 TOCTOU (檢查時間/使用時間) 爭用情形。File.ReadDir 和 File.Readdir 方法使用 lstat 填入 os.FileInfo其可透過符號連結爭用情形逸出 root 邊界。攻擊者可在清單目錄內容和呼叫 DirEntry.Info() 之間使用指向 root 外部的符號連結取代目錄進而惡意利用此弱點進而允許擷取 root 外部檔案的檔案中繼資料 (大小、修改時間、權限)。這不允許在 root 之外讀取或寫入檔案。
(CVE-2026-27139)

- 將 URL 插入 HTML 中繼標籤內容屬性的動作不會逸出。如果中繼標籤的 http-equiv 屬性值為 'refresh'這可允許 XSS。已新增新的 GODEBUG 設定 htmlmetacontenturlescape其可用於透過設定 htmlmetacontenturlescape=0在 'url=' 之後的中繼內容屬性中停用動作中的 URL 逸出。 (CVE-2026-27142)

請注意，Nessus 並未測試這些問題，而是僅依據應用程式自我報告的版本號碼作出判斷。