Katalog CVE

CVE-2025-66630

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Fiber to framework webowy inspirowany Express, napisany w Go. W wersjach przed 2.52.11, na wersjach Go przed 1.24, implementacja crypto/rand może zwracać błąd, jeśli nie można uzyskać bezpiecznej losowości, co prowadzi do używania przewidywalnych identyfikatorów w krytycznych ścieżkach bezpieczeństwa.

Ocena ryzyka

Organizacje mogą być narażone na ataki, ponieważ aplikacje mogą korzystać z identyfikatorów o niskiej entropii, co ułatwia ich przewidywanie i wykorzystanie w atakach. To może prowadzić do poważnych luk w zabezpieczeniach, zwłaszcza w komponentach middleware Fiber v2.

Rekomendacja

Zaleca się aktualizację do wersji Fiber 2.52.11 lub nowszej, aby usunąć tę podatność oraz przetestowanie aplikacji pod kątem użycia UUID w krytycznych obszarach bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

Fiber is an Express inspired web framework written in Go. Before 2.52.11, on Go versions prior to 1.24, the underlying crypto/rand implementation can return an error if secure randomness cannot be obtained. Because no error is returned by the Fiber v2 UUID functions, application code may unknowingly rely on predictable, repeated, or low-entropy identifiers in security-critical pathways. This is especially impactful because many Fiber v2 middleware components (session middleware, CSRF, rate limiting, request-ID generation, etc.) default to using utils.UUIDv4(). This vulnerability is fixed in 2.52.11.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS