【漏洞通告】Go Darwin 構建代碼執行漏洞(CVE-2025-22867)

發布時間 2025-02-07

一、漏洞概述


漏洞名稱

Go Darwin 構建代碼執行漏洞

CVE   ID

CVE-2025-22867

漏洞類型

代碼執行

發現時間

2025-02-07

漏洞評分

7.5

漏洞等級

高危

攻擊向量

網絡

所需權限

利用難度

用戶交互

PoC/EXP

未公開

在野利用

未發現


Go(也稱為 Golang)是由 Google 開發的開源編程語言,旨在提供高效、簡潔和易于并發編程的功能。它具有垃圾回收、內存安全和強大的并發支持(goroutines)。Go 語言廣泛應用于服務器端開發、網絡編程和云計算等領域,特別適合需要高性能和可擴展性的應用。


2025年2月7日,啟明星辰集團VSRC監測到Go語言官方發布了關于CVE-2025-22867漏洞的公告。該漏洞影響Go 1.24rc2版本的漏洞,存在于Darwin(macOS)平臺上。該漏洞源于Go構建過程中,CGO模塊與Apple版本的ld(鏈接器)配合使用時,濫用#cgo LDFLAGS指令中的@executable_path、@loader_path或@rpath等特殊路徑值,可能導致任意代碼執行。攻擊者可通過精心構造的Go模塊觸發此漏洞,在構建過程中執行惡意代碼,從而危及系統安全。


二、影響范圍


Go 1.24rc2


三、安全措施


3.1 升級版本


升級至 Go 1.24rc3 或更高版本。


下載鏈接:

https://github.com/golang/go/tags/


3.2 臨時措施


暫無。


3.3 通用建議


? 定期更新系統補丁,減少系統漏洞,提升服務器的安全性。
加強系統和網絡的訪問控制,修改防火墻策略,關閉非必要的應用端口或服務,減少將危險服務(如SSH、RDP等)暴露到公網,減少攻擊面。
使用企業級安全產品,提升企業的網絡安全性能。
加強系統用戶和權限管理,啟用多因素認證機制和最小權限原則,用戶和軟件權限應保持在最低限度。

啟用強密碼策略并設置為定期修改。


3.4 參考鏈接


https://go.dev/cl/646996
https://nvd.nist.gov/vuln/detail/CVE-2025-22867
https://go.dev/issue/71476
https://pkg.go.dev/vuln/GO-2025-3428
https://groups.google.com/g/golang-dev/c/TYzikTgHK6Y