CVE-2024-25124 in fiberالمعلومات

الملخص

بحسب VulDB • 23/06/2026

Fiber هو إطار عمل للويب مكتوب بلغة Go. قبل الإصدار 2.52.1، يسمح مكون وسيط CORS (Cross-Origin Resource Sharing) بإعدادات غير آمنة قد تعرض التطبيق لثغرات متعددة متعلقة بـ CORS. وتحديداً، يتيح تعيين رأس `Access-Control-Allow-Origin` إلى قيمة عامة (`*`) بينما يكون الرأس `Access-Control-Allow-Credentials` مضبوطاً على القيمة `true`، وهو ما يتعارض مع أفضل ممارسات الأمان الموصى بها. يعتبر تأثير هذا الإعداد الخاطئ عالي الخطورة لأنه قد يؤدي إلى وصول غير مصرح به إلى بيانات المستخدمين الحساسة ويعرض النظام لأنواع مختلفة من الهجمات المذكورة في مقال PortSwigger المرتبط بالمراجع. يحتوي الإصدار 2.52.1 على تصحيح لهذه المشكلة. كحل بديل، يمكن للمستخدمين التحقق يدوياً من إعدادات CORS في تنفيذهم لضمان عدم السماح بنطاق عام (wildcard origin) عند تمكين المصادقة/البيانات الاعتمادية. لا تتأثر واجهة برمجة تطبيقات جلب المتصفح (browser fetch API)، وكذلك المتصفحات والأدوات التي تفرض سياسات CORS، بهذه المشكلة.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

مسؤول

GitHub, Inc.

حجز

05/02/2024

إفشاء

21/02/2024

الاعتدال

تمت الموافقة

إدخال

VDB-254467

استغلال

تحميل

EPSS

0.00660

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!