漏洞概述 漏洞名称: mime: quadratic complexity in WordDecoder.DecodeHeader 漏洞编号: #79217 漏洞类型: 安全漏洞 漏洞状态: 已关闭 漏洞描述: 当 无法解码编码词的内容时,它会在输出中保留未解码的输入。例如, 返回 ,因为 "foo" 不是有效的 base-64。这部分是好的,函数按文档记录的那样工作。 漏洞影响: 在处理由许多 前缀组成的恶意输入时, 会消耗单词的初始 (将其附加到输出),然后继续解析。这会导致二次复杂度(或接近二次复杂度),因为每个 前缀后跟一个单个终端 。 影响范围 影响组件: 影响版本: Go 1.25 和 Go 1.26 分支 修复方案 修复提交: - Go 1.25 分支 - Go 1.26 分支 修复内容: 避免在 中出现二次复杂度。 POC代码 其他信息 报告者: p4p3r (https://hackerone.com/p4p3r_h4x) CVE编号: CVE-2026-42504 标签: BugReport, ForPending, Security, release-blocker 相关议题: - net/mail: quadratic string concatenation in consumePhrase #78987 - mime: quadratic complexity in WordDecoder.DecodeHeader [1.25 backport] #79220 - mime: quadratic complexity in WordDecoder.DecodeHeader [1.26 backport] #79230