GHSA-J9WF-6R2X-HQMX: Centrifugo v6.6.0: 供应链特洛伊木马

Source: Dev.to

概览

一次经典的供应链妥协，影响 Centrifugo 实时消息服务器。v6.6.0 版本携带了存在漏洞的第三方 Go 依赖，将关键缺陷直接嵌入构建产物中。此通告强调了现代 Go 应用中传递性依赖的风险——单个过时的包即可将安全堡垒变成纸牌屋。

漏洞详情

• 漏洞编号： GHSA-J9WF-6R2X-HQMX
• CVSS v3.1 评分： 6.5（中等）
• 发布时间： 2026‑02‑19
• 攻击向量： 网络（远程）
• 影响： 拒绝服务 / 潜在远程代码执行
• 受影响组件： 第三方 Go 依赖（net、protobuf）
• CWE 编号： CWE‑1395

受影响版本

• Centrifugo 服务器： v6.6.0（已在 v6.6.1 中修复）
• Go 导入路径： github.com/centrifugal/centrifugo/v6，版本 v6.6.0

修复步骤

1. 停止 正在运行的 Centrifugo 实例。
2. 升级 至 v6.6.1 或更高版本：
   • 下载 v6.6.1 二进制文件 或 拉取 centrifugo/centrifugo:v6.6.1 Docker 镜像。
   • 使用 centrifugo version 验证版本。
3. 重启 服务。

依赖更新

在 go.mod 中提升受影响依赖的版本并重新构建：

module github.com/your/project

go 1.22

require (
    github.com/centrifugal/centrifugo/v6 v6.6.1 // 已升级
    // 其他依赖...
)

额外加固措施

• 在 CI/CD 流水线中实现自动化依赖扫描（例如 govulncheck、Trivy）。
• 使用 WAF 或负载均衡器限制对 Centrifugo 服务的网络访问，以过滤上游的异常 HTTP/2 或 WebSocket 帧。

参考资料

• GitHub Advisory Database – GHSA-J9WF-6R2X-HQMX
• 完整报告（含交互式图表和漏洞利用分析），可在通告网站上获取。