请输入关键词...

关于Go Darwin构建代码执行漏洞(CVE-2025-22867)的预警提示

江苏省教育网络和信息安全通报平台/文字 /摄影 江苏省教育网络和信息安全通报平台/审核 时间:2025-02-27阅读次数:10

一、漏洞详情

Go(也称为Golang)是由Google开发的开源编程语言,旨在提供高效、简洁和易于并发编程的功能。

近日,监测到Go语言官方发布了关于CVE-2025-22867漏洞的公告。该漏洞影响Go 1.24rc2版本的漏洞,存在于DarwinmacOS)平台上。该漏洞源于Go构建过程中,CGO模块与Apple版本的ld(链接器)配合使用时,滥用#cgo LDFLAGS指令中的@executable_path@loader_path@rpath等特殊路径值,可能导致任意代码执行。攻击者可通过精心构造的Go模块触发此漏洞,在构建过程中执行恶意代码,从而危及系统安全。

建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。

二、影响范围

Go 1.24rc2

三、修复建议


升级至 Go 1.24rc3 或更高版本。