Go 一口气发布三个版本

Go 官方团队发布的 Go 1.25.6 和 Go 1.24.12 紧急安全更新公告，同时还包括 Go1.26 RC2 版本。

核心修复：6 大漏洞深度解析

本次更新修复的漏洞主要集中在“拒绝服务（DoS）”和“任意代码执行（RCE）”两个高危领域：

1. archive/zip：线性算法变“炸弹” (CVE-2025-61728)

2. net/http：内存溢出风险 (CVE-2025-61726)

3. cmd/go：VCS 注入导致任意代码执行 (CVE-2025-68119)

4. cmd/go：Cgo 标志绕过 (CVE-2025-61731)

5. crypto/tls：Session Ticket 与证书过期漏洞 (CVE-2025-68121)

6. crypto/tls：TLS 1.3 握手层级错误 (CVE-2025-61730)

开发者该如何行动？尝鲜者请更新： 如果你已经在测试环境使用 Go 1.26rc1，请立即切换到 Go 1.26rc2。关注正式版： 这些修复也将同步到 Go 1.25 和 Go 1.24 的最新补丁版本中。对于生产环境，请务必保持关注并及时升级小版本。加强防御： 在处理用户上传的压缩包（ZIP）或解析复杂的 HTTP 表单时，务必在应用层增加大小限制。 结语

Go 语言社区对安全的响应速度一如既往地迅速。每一个漏洞的修复，都让 Gopher 们的代码库更加坚固。