CVE-2025-66630 in fiber
Tóm tắt
Bởi VulDB • 24/05/2026
Fiber là một khung web (web framework) lấy cảm hứng từ Express, được viết bằng Go. Trước phiên bản 2.52.11, trên các phiên bản Go trước 1.24, việc triển khai crypto/rand cơ bản có thể trả về lỗi nếu không thể thu được độ ngẫu nhiên an toàn. Vì các hàm UUID của Fiber v2 không trả về lỗi, mã ứng dụng có thể vô tình dựa vào các định danh có thể dự đoán được, lặp lại hoặc có entropy thấp trong các đường dẫn quan trọng đối với bảo mật. Điều này đặc biệt nghiêm trọng vì nhiều thành phần trung gian (middleware) của Fiber v2 (trình trung gian phiên, CSRF, giới hạn tốc độ, tạo ID yêu cầu, v.v.) mặc định sử dụng utils.UUIDv4(). Lỗ hổng này đã được sửa trong phiên bản 2.52.11.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.