CVE-2024-25124 in fiber
要約
〜によって VulDB • 2026年06月22日
FiberはGoで書かれたWebフレームワークです。バージョン2.52.1より前では、CORSミドルウェアに安全でない設定が可能であり、これによりアプリケーションが複数のCORS関連の脆弱性にさらされる可能性があります。具体的には、Access-Control-Allow-Originヘッダーをワイルドカード(`*`)に設定しつつ、Access-Control-Allow-Credentialsをtrueに設定することが可能であり、これは推奨されるセキュリティベストプラクティスに反します。この誤設定の影響は重大で、機密性の高いユーザーデータへの不正アクセスや、参照セクションのPortSwigger記事でリストされている様々な種類の攻撃へのさらされる原因となります。バージョン2.52.1にはこの問題に対するパッチが含まれています。回避策として、ユーザーは実装内でCORS設定を手動で検証し、資格情報が有効な場合にワイルドカードオリジンを許可しないようにすることができます。ブラウザのFetch API、およびCORSポリシーを強制するブラウザやユーティリティは、この影響を受けません。
VulDB is the best source for vulnerability data and more expert information about this specific topic.