概要
Goチームは2026年5月7日、Go 1.26.3およびGo 1.25.10のパッチリリースを公開した。両バージョンはともに11件のセキュリティ脆弱性を修正するほか、コンパイラ・リンカ・ランタイムなど複数コンポーネントのバグ修正も含む。現行の本番環境で稼働しているユーザーには速やかなアップデートが推奨されている。セキュリティ修正はGoの標準ライブラリおよびツールチェーン全体に広く及んでいる。
セキュリティ修正の詳細
今回のリリースで修正された脆弱性はカテゴリ別に以下のとおりまとめられる。
XSS(クロスサイトスクリプティング)関連
html/templateパッケージで2件のXSS脆弱性が修正された。CVE-2026-39826は<script>タグに空のtype属性または空白を含むtype属性を使用した場合に発生するエスケープ処理の不備、CVE-2026-39823はメタタグのcontent属性内でURLが正しくエスケープされない問題をそれぞれ修正する。いずれも信頼済みテンプレート作成者の記述を利用して攻撃者が悪意あるスクリプトを実行できる可能性があった。
DoS(サービス拒否)関連
net/httpパッケージのCVE-2026-33814は、HTTP/2のSETTINGS_MAX_FRAME_SIZEに不正な値を送信することで無限ループを引き起こしDoS攻撃を可能にする脆弱性。net/mailパッケージではCVE-2026-39820とCVE-2026-42499の2件が修正されており、どちらも文字列の二次的連結処理に起因するCPU過消費・メモリ過消費問題で、メールアドレスのパース関数(ParseAddress・ParseAddressList・ParseDate)を悪用される恐れがあった。
パストラバーサル・ファイルシステム関連
go tool packのCVE-2026-39817は、出力ファイル名をサニタイズしないまま展開することで任意のファイルシステム位置への書き込みを可能にする脆弱性。修正としてディレクトリ成分を含むファイルの展開が拒否されるようになった。CVE-2026-39819はgo bugコマンドが予測可能な一時ファイル名のシンボリックリンクを追うことで、攻撃者がリンク先を上書きできる問題を修正する。
その他
CVE-2026-42501はモジュールプロキシがチェックサム検証をバイパスできる脆弱性、CVE-2026-33811はcgo DNSリゾルバの長いCNAMEレスポンス処理時のダブルフリーによるクラッシュ、CVE-2026-39825はnet/http/httputilのリバースプロキシがクエリパラメータ数制限を考慮しない問題、CVE-2026-39836はnetパッケージのDialおよびLookupPort関数がWindows環境でNULバイトを含む入力を受け取った際にパニックを起こす問題がそれぞれ修正されている。
バグ修正と対象コンポーネント
セキュリティ修正に加え、両バージョンには以下のバグ修正が含まれる。
goコマンドおよびgo fixコマンド(Go 1.26.3のみ)- コンパイラおよびリンカ
- ランタイム
crypto/fips140・crypto/tlsパッケージgo/typesパッケージosパッケージ
Go 1.26.3ではGo 1.25.10に含まれないいくつかの追加修正(go fix・crypto/tlsなど)も取り込まれている。
アップデートの推奨
Goの公式サイトから最新バージョンをダウンロードできる。GoチームはWebサーバーやCLIツールなど本番環境で動作しているアプリケーションに対し、特にHTTPサーバーやメールパース機能を利用している場合は早急なバージョンアップを呼びかけている。今回修正されたXSS・DoS・パストラバーサル系の脆弱性は外部からの入力を介して悪用される可能性があるため、インターネット公開サービスでは優先度を高めた対応が求められる。