【漏洞通告】Go Darwin 構建代碼執行漏洞(CVE-2025-22867)
發布時間 2025-02-07一、漏洞概述
漏洞名稱 | Go Darwin 構建代碼執行漏洞 | ||
CVE ID | CVE-2025-22867 | ||
漏洞類型 | 代碼執行 | 發現時間 | 2025-02-07 |
漏洞評分 | 7.5 | 漏洞等級 | 高危 |
攻擊向量 | 網絡 | 所需權限 | 無 |
利用難度 | 低 | 用戶交互 | 無 |
PoC/EXP | 未公開 | 在野利用 | 未發現 |
Go(也稱為 Golang)是由 Google 開發的開源編程語言,旨在提供高效、簡潔和易于并發編程的功能。它具有垃圾回收、內存安全和強大的并發支持(goroutines)。Go 語言廣泛應用于服務器端開發、網絡編程和云計算等領域,特別適合需要高性能和可擴展性的應用。
2025年2月7日,啟明星辰集團VSRC監測到Go語言官方發布了關于CVE-2025-22867漏洞的公告。該漏洞影響Go 1.24rc2版本的漏洞,存在于Darwin(macOS)平臺上。該漏洞源于Go構建過程中,CGO模塊與Apple版本的ld(鏈接器)配合使用時,濫用#cgo LDFLAGS指令中的@executable_path、@loader_path或@rpath等特殊路徑值,可能導致任意代碼執行。攻擊者可通過精心構造的Go模塊觸發此漏洞,在構建過程中執行惡意代碼,從而危及系統安全。
二、影響范圍
Go 1.24rc2
三、安全措施
3.1 升級版本
下載鏈接:
3.2 臨時措施
暫無。
3.3 通用建議
? 啟用強密碼策略并設置為定期修改。