CVE-2025-66630
CriticalSummary
Fiber to framework webowy inspirowany Express, napisany w Go. W wersjach przed 2.52.11, na wersjach Go przed 1.24, implementacja crypto/rand może zwracać błąd, jeśli nie można uzyskać bezpiecznej losowości, co prowadzi do używania przewidywalnych identyfikatorów w krytycznych ścieżkach bezpieczeństwa.
Risk Assessment
Organizacje mogą być narażone na ataki, ponieważ aplikacje mogą korzystać z identyfikatorów o niskiej entropii, co ułatwia ich przewidywanie i wykorzystanie w atakach. To może prowadzić do poważnych luk w zabezpieczeniach, zwłaszcza w komponentach middleware Fiber v2.
Recommendation
Zaleca się aktualizację do wersji Fiber 2.52.11 lub nowszej, aby usunąć tę podatność oraz przetestowanie aplikacji pod kątem użycia UUID w krytycznych obszarach bezpieczeństwa.
Original NVD description (English source)
Fiber is an Express inspired web framework written in Go. Before 2.52.11, on Go versions prior to 1.24, the underlying crypto/rand implementation can return an error if secure randomness cannot be obtained. Because no error is returned by the Fiber v2 UUID functions, application code may unknowingly rely on predictable, repeated, or low-entropy identifiers in security-critical pathways. This is especially impactful because many Fiber v2 middleware components (session middleware, CSRF, rate limiting, request-ID generation, etc.) default to using utils.UUIDv4(). This vulnerability is fixed in 2.52.11.

