一、漏洞详情
Go(也称为Golang)是由Google开发的开源编程语言,旨在提供高效、简洁和易于并发编程的功能。
近日,监测到Go语言官方发布了关于CVE-2025-22867漏洞的公告。该漏洞影响Go 1.24rc2版本的漏洞,存在于Darwin(macOS)平台上。该漏洞源于Go构建过程中,CGO模块与Apple版本的ld(链接器)配合使用时,滥用#cgo LDFLAGS指令中的@executable_path、@loader_path或@rpath等特殊路径值,可能导致任意代码执行。攻击者可通过精心构造的Go模块触发此漏洞,在构建过程中执行恶意代码,从而危及系统安全。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Go 1.24rc2
三、修复建议
升级至 Go 1.24rc3 或更高版本。