漏洞总结:golang.org/x/net v0.55.0 安全更新 漏洞概述 Go 语言团队发布了 的 v0.55.0 版本,旨在修复以下安全漏洞: 1. HTML 解析器错误处理命名空间元素: - 问题:HTML 解析器错误处理了某些命名空间元素,导致在渲染 HTML 时可能引发 XSS(跨站脚本攻击)。 - CVE 编号:CVE-2026-42505 - Go 问题链接:https://go.dev/issue/79571 2. x/net/html 未能拒绝 ASCII-only Punycode 编码标签: - 问题:ToASCII 和 ToUnicode 函数错误地接受了 Punycode 编码标签,这些标签解码为 ASCII-only 标签。例如, 错误地返回了名称 而不是错误。 - CVE 编号:CVE-2026-39821 - Go 问题链接:https://go.dev/issue/78760 3. idna 包实现 UTS 46 处理算法中的错误: - 问题:idna 包实现了 UTS 46 处理算法中的错误,旧版本的 UTS 46 包含了一个允许将多个 ASCII 标签解码为相同 Unicode 标签的规范错误。UTS 46 修订版 33 修复了该规范错误。idna 包现在实现了更新的规范。 - 影响:此行为可能导致使用 idna 包的程序中的权限提升。例如,一个程序可能对 ASCII 主机名执行权限检查,但允许 。如果该程序随后将 ASCII 主机名转换为 Unicode,它将无意中允许访问 Unicode 名称 。 - CVE 编号:CVE-2026-42502 - Go 问题链接:https://go.dev/issue/79572 4. HTML 解析器错误处理 HTML 元素: - 问题:HTML 解析器错误处理了某些 HTML 元素,导致在渲染 HTML 时可能引发 XSS。 - CVE 编号:CVE-2026-42502 - Go 问题链接:https://go.dev/issue/79572 5. 解析任意 HTML 时的拒绝服务: - 问题:解析任意 HTML 时可能导致拒绝服务。 - CVE 编号:CVE-2026-42502 - Go 问题链接:https://go.dev/issue/79572 影响范围 HTML 解析器错误处理命名空间元素:可能导致 XSS 攻击。 x/net/html 未能拒绝 ASCII-only Punycode 编码标签:可能导致权限提升。 idna 包实现 UTS 46 处理算法中的错误:可能导致权限提升。 HTML 解析器错误处理 HTML 元素:可能导致 XSS 攻击。 解析任意 HTML 时的拒绝服务:可能导致服务不可用。 修复方案 更新到 v0.55.0:升级到 的 v0.55.0 版本以修复上述所有安全问题。 具体修复措施: - 修复 HTML 解析器对命名空间元素的处理。 - 修复 ToASCII 和 ToUnicode 函数对 Punycode 编码标签的处理。 - 更新 idna 包以遵循 UTS 46 修订版 33 的规范。 - 修复 HTML 解析器对 HTML 元素的处理。 - 优化解析任意 HTML 时的性能,防止拒绝服务。 POC 代码 页面中未提供具体的 POC 代码或利用代码。