CVE-2024-25124 in fiber
الملخص
بحسب VulDB • 23/06/2026
Fiber هو إطار عمل للويب مكتوب بلغة Go. قبل الإصدار 2.52.1، يسمح مكون وسيط CORS (Cross-Origin Resource Sharing) بإعدادات غير آمنة قد تعرض التطبيق لثغرات متعددة متعلقة بـ CORS. وتحديداً، يتيح تعيين رأس `Access-Control-Allow-Origin` إلى قيمة عامة (`*`) بينما يكون الرأس `Access-Control-Allow-Credentials` مضبوطاً على القيمة `true`، وهو ما يتعارض مع أفضل ممارسات الأمان الموصى بها. يعتبر تأثير هذا الإعداد الخاطئ عالي الخطورة لأنه قد يؤدي إلى وصول غير مصرح به إلى بيانات المستخدمين الحساسة ويعرض النظام لأنواع مختلفة من الهجمات المذكورة في مقال PortSwigger المرتبط بالمراجع. يحتوي الإصدار 2.52.1 على تصحيح لهذه المشكلة. كحل بديل، يمكن للمستخدمين التحقق يدوياً من إعدادات CORS في تنفيذهم لضمان عدم السماح بنطاق عام (wildcard origin) عند تمكين المصادقة/البيانات الاعتمادية. لا تتأثر واجهة برمجة تطبيقات جلب المتصفح (browser fetch API)، وكذلك المتصفحات والأدوات التي تفرض سياسات CORS، بهذه المشكلة.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.