1. Go x/image/webp 漏洞:32位平台解码超大WebP图像可导致内存损坏与程序崩溃 (CVE-2026-33813)
Go语言标准库 `x/image/webp` 解码器存在一个关键安全漏洞,在32位平台上处理特制的超大WebP图像时,会返回一个内部已损坏的 `image.Image` 对象,后续任何对该图像数据的访问都将直接导致程序恐慌(panic)崩溃。该漏洞源于解码器未能严格执行WebP格式规范(RFC 9649)中定义的画布尺寸上限检查。根据规范,WebP扩展头(VP8X)中声明的画布尺寸(宽度乘以高度)不得超过2^32-1像素。然而,当解码一个声明尺寸超过此限制或在32位整数乘法运算中导致溢出的图像时,库未能有效拒绝该图像,反而生成了一个无效的内部数据结构。 此漏洞被追踪为CVE-2026-33813,并已被标记为公开追踪(PUBLIC...