一����、漏洞詳情
Go(也稱為Golang)是由Google開發(fā)的開源編程語言�,旨在提供高效�、簡潔和易于并發(fā)編程的功能�。
近日,監(jiān)測到Go語言官方發(fā)布了關(guān)于CVE-2025-22867漏洞的公告�。該漏洞影響Go 1.24rc2版本的漏洞,存在于Darwin(macOS)平臺上�。該漏洞源于Go構(gòu)建過程中��,CGO模塊與Apple版本的ld(鏈接器)配合使用時���,濫用#cgo LDFLAGS指令中的@executable_path、@loader_path或@rpath等特殊路徑值����,可能導(dǎo)致任意代碼執(zhí)行。攻擊者可通過精心構(gòu)造的Go模塊觸發(fā)此漏洞�����,在構(gòu)建過程中執(zhí)行惡意代碼�,從而危及系統(tǒng)安全����。
建議受影響用戶做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊�。
二�����、影響范圍
Go 1.24rc2
三、修復(fù)建議
升級至 Go 1.24rc3 或更高版本。