CRITICAL🇬🇧 English

CVE-2025-66630

Przewidywalne UUID w Fiber v2 — podatność na generowanie słabych identyfikatorów

CVSS 9.2v4.0pub. 2026-02-09upd. 2026-02-28

Biblioteka Fiber v2 (framework webowy dla Go) przed wersją 2.52.11, działająca na Go starszym niż 1.24, może generować przewidywalne lub powtarzające się UUID z powodu cichego ignorowania błędów kryptograficznego generatora losowości. Podatność jest krytyczna, ponieważ dotknięte są domyślne komponenty middleware odpowiedzialne za bezpieczeństwo sesji, tokeny CSRF, rate limiting i identyfikatory żądań.

Pokaż oryginał (EN)

Fiber is an Express inspired web framework written in Go. Before 2.52.11, on Go versions prior to 1.24, the underlying crypto/rand implementation can return an error if secure randomness cannot be obtained. Because no error is returned by the Fiber v2 UUID functions, application code may unknowingly rely on predictable, repeated, or low-entropy identifiers in security-critical pathways. This is especially impactful because many Fiber v2 middleware components (session middleware, CSRF, rate limiting, request-ID generation, etc.) default to using utils.UUIDv4(). This vulnerability is fixed in 2.52.11.

🤖 Analiza AI
Jak działa

Funkcja `crypto/rand` w Go może zwrócić błąd, gdy system nie jest w stanie dostarczyć bezpiecznej losowości. Funkcje generujące UUID w Fiber v2 (m.in. `utils.UUIDv4()`) nie propagują tego błędu do wywołującego kodu. W rezultacie, gdy generator losowości zawiedzie, aplikacja może otrzymać identyfikatory o niskiej entropii, powtarzające się lub całkowicie przewidywalne. Problem jest szczególnie poważny, ponieważ `utils.UUIDv4()` jest domyślnie używana przez wiele komponentów middleware — sesje, CSRF, rate limiting oraz generowanie identyfikatorów żądań (request-ID).

Skutki

Atakujący może przewidzieć lub odgadnąć identyfikatory sesji, tokeny CSRF lub inne wartości używane w mechanizmach bezpieczeństwa, co otwiera drogę do przejęcia sesji użytkownika, ominięcia ochrony przed atakami CSRF lub obejścia mechanizmów rate limiting.

Mitygacja

Należy zaktualizować Fiber v2 do wersji 2.52.11 lub nowszej. Zaleca się również aktualizację środowiska uruchomieniowego Go do wersji 1.24 lub nowszej. Szczegóły dostępne w oficjalnym advisory producenta: https://github.com/gofiber/fiber/security/advisories/GHSA-68rr-p4fp-j59v

Kogo dotyczy

Gofiber Fiber v2 przed wersją 2.52.11, uruchomiony na Go w wersji wcześniejszej niż 1.24

Uwagi

Podatność sklasyfikowana jako CWE-338 (Use of Cryptographically Weak Pseudo-Random Number Generator). Podatność ma charakter warunkowy — do jej wystąpienia wymagane jest jednoczesne użycie Fiber v2 < 2.52.11 oraz Go < 1.24. Poprawka dostępna w commicie eb874b6f6c5896b968d9b0ab2b56ac7052cb0ee1.

CVSS Vector
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Gofiber Fiber

    APP
    Gofiber
    < 2.52.11
  • Golang Go

    APP
    Golang
    < 1.24.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-27143CRITICAL9.8PL ✓ten sam produkt

Błąd arytmetyczny w kompilatorze Golang Go prowadzący do uszkodzenia pamięci

CVE-2025-68121CRITICAL10.0PL ✓ten sam produkt

Golang crypto/tls: błędna walidacja certyfikatów przy wznawianiu sesji TLS

CVE-2024-38513CRITICAL10.0PL ✓ten sam produkt

Session Fixation w middleware sesji GoFiber Fiber (wersje < 2.52.5)

CVE-2024-24790CRITICAL9.8PL ✓ten sam produkt

Błędna klasyfikacja adresów IPv4-mapped IPv6 w bibliotece standardowej Go

CVE-2024-25124CRITICAL9.4PL ✓ten sam produkt

Gofiber Fiber: Niebezpieczna konfiguracja CORS middleware (wildcard + credentials)