Go 核心网络库爆安全漏洞：CVE-2025-22870/22872 影响代理配置，自动更新 PR 已关闭

Go 语言核心网络库 `golang.org/x/net` 中发现两个安全漏洞，可能影响依赖该库的应用程序的代理配置安全。这两个漏洞被标记为 CVE-2025-22870 和 CVE-2025-22872，其中 CVE-2025-22870 的细节已披露。该漏洞源于主机名与代理模式匹配的逻辑缺陷，在处理 IPv6 地址时，可能错误地将 IPv6 的区域标识符（zone ID）当作主机名的一部分进行匹配。例如，当 `NO_PROXY` 环境变量设置为 `*.example.com` 时，对 `[::1%25.example.com]:80` 的请求会被错误地判定为匹配，从而绕过代理设置，可能导致流量被发送到非预期的目的地。

该漏洞的修复包含在 `golang.org/x/net` 的 v0.38.0 版本中。在 GitHub 上，一个由自动化工具 Renovate 创建的拉取请求（PR）旨在将依赖从 v0.26.0 更新至 v0.38.0 以解决此安全问题。该 PR 的更新表格显示，新版本（v0.38.0）的“年龄”和“合并信心”均处于良好状态，表明这是一个相对成熟且可靠的更新。然而，值得注意的是，这个安全更新 PR 目前显示为“自动关闭”状态，具体原因未在提供的信息中说明。

对于使用 Go 网络库并配置了 HTTP 代理的开发者与运维团队而言，此漏洞构成了潜在的安全风险。它可能被利用来绕过代理规则，尤其是在涉及内部网络或敏感后端服务的环境中。虽然修复版本已发布，但依赖该库的项目需要主动将版本升级至 v0.38.0 或更高版本。当前 PR 的自动关闭状态提示，依赖项的自动化安全更新流程可能遇到了阻碍，需要人工介入审查和合并，以确保安全补丁被及时应用。