一、漏洞详情
go(也称为golang)是由google开发的开源编程语言,旨在提供高效、简洁和易于并发编程的功能。
近日,监测到go语言官方发布了关于cve-2025-22867漏洞的公告。该漏洞影响go 1.24rc2版本的漏洞,存在于darwin(macos)平台上。该漏洞源于go构建过程中,cgo模块与apple版本的ld(链接器)配合使用时,滥用#cgo ldflags指令中的@executable_path、@loader_path或@rpath等特殊路径值,可能导致任意代码执行。攻击者可通过精心构造的go模块触发此漏洞,在构建过程中执行恶意代码,从而危及系统安全。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
go 1.24rc2
三、修复建议
升级至 go 1.24rc3 或更高版本。
