Go 1.26 标准库曝出三个高危漏洞，影响文件系统与网络解析

Go 语言 1.26 版本的标准库中发现了三个新漏洞，可能允许攻击者绕过安全边界或导致服务解析异常。这些漏洞由官方漏洞扫描工具 `govulncheck` 检测发现，涉及 `os` 和 `net/url` 两个核心包，均已在 Go 1.26.1 版本中修复。

具体而言，漏洞 GO-2026-4602 存在于 `os` 包中，可能导致 `FileInfo` 从 `Root` 中逃逸，影响文件系统操作的安全性。在示例代码中，`internal/adapters/repositories/os_file_repository.go` 文件内的 `repositories.OSFileRepository.ReadDirectory` 方法调用了存在漏洞的 `os.ReadDir` 函数。另一个漏洞 GO-2026-4601 位于 `net/url` 包，涉及 IPv6 主机字面量的错误解析，可能影响网络请求的处理。项目中的 `web.Handler.ServeHTTP` 和 `web.StartServer` 方法均通过调用 `http.ServeMux` 和 `http.Serve` 间接触发了存在问题的 `url.Parse` 和 `url.ParseRequestURI` 函数。

这些漏洞直接影响依赖 Go 标准库进行文件操作和网络服务构建的应用程序。虽然官方已发布修复版本，但大量尚未升级至 Go 1.26.1 的生产环境仍面临潜在风险。开发团队需立即审查其代码库，确认是否调用了受影响的函数，并优先安排运行时升级以消除安全隐患。