gRPC-Go < v1.79.3 曝授权绕过漏洞 (CVE-2026-33186)，依赖项目面临安全风险

一个存在于 gRPC-Go 库中的关键安全漏洞（CVE-2026-33186）已被确认，该漏洞允许攻击者在特定条件下绕过服务的授权控制。该漏洞影响所有低于 v1.79.3 版本的 `google.golang.org/grpc` 库。其核心风险在于，攻击者可以通过发送畸形的 HTTP/2 请求，利用对 `:path` 伪标头验证不当的缺陷，使请求路径绕过基于路径的授权策略检查，但仍能被路由到预期的处理程序。

该漏洞的利用条件较为苛刻，需要同时满足多个前提：服务必须运行 gRPC-Go 服务器；使用了基于路径的授权机制（如 `google.golang.org/grpc/authz` 或自定义拦截器）；授权策略中包含了针对规范路径（如 `/service/method`）的显式拒绝规则，同时存在一个默认允许的回退规则；并且攻击者能够直接向服务发送精心构造的 HTTP/2 请求。然而，一旦这些条件齐备，其潜在影响是严重的，可能导致未经授权的访问。

此漏洞作为间接依赖广泛存在于众多项目中，例如 Pelican 项目就被发现仍在使用存在漏洞的 grpc v1.67.3 版本。这为整个依赖生态敲响了警钟，凸显了供应链安全管理的脆弱性。所有使用受影响 gRPC-Go 版本的服务所有者必须立即将依赖升级至 v1.79.3 或更高版本，并审查其授权策略配置，以消除潜在的攻击面。