Go 1.26 标准库曝出三个高危漏洞，影响文件系统与网络解析

Go 语言 1.26 版本的标准库中发现了三个新漏洞，可能允许攻击者绕过安全边界或导致网络请求解析错误。这些漏洞被标记为 GO-2026-4600、GO-2026-4601 和 GO-2026-4602，均已在 Go 1.26.1 版本中修复。安全扫描工具 `govulncheck` 的检测结果显示，这些漏洞存在于核心的 `os` 和 `net/url` 包中，影响广泛使用这些标准库功能的应用程序。

具体而言，漏洞 GO-2026-4602 涉及 `os` 包，可能导致 `FileInfo` 对象从 `Root` 中逃逸，破坏文件系统的访问控制隔离。代码追踪显示，通过 `os.ReadDir` 函数调用的路径可能触发此问题。另一个漏洞 GO-2026-4601 位于 `net/url` 包中，涉及对 IPv6 主机字面量的错误解析，可能影响 URL 处理的正确性与安全性。调用链分析指出，`http.ServeMux.ServeHTTP` 和 `http.Serve` 等常见 HTTP 服务器操作最终会调用到存在缺陷的 `url.Parse` 或 `url.ParseRequestURI` 函数。

这些漏洞的发现对依赖 Go 构建网络服务、文件管理工具或任何涉及系统交互的软件项目构成了直接的安全风险。虽然官方已发布补丁版本，但大量尚未升级的生产环境系统可能仍处于暴露状态。开发团队需要立即审查其代码库中是否包含受影响的调用路径，并优先安排升级至 Go 1.26.1 或应用其他缓解措施，以防止潜在的权限提升或服务中断攻击。