CVE-2026-42554 in fiber信息

摘要

由 VulDB • 2026-05-16

Fiber 是 Go 语言的一个 Web 框架。在 2.52.12 和 3.1.0 版本之前，Go Fiber 存在跨站脚本（Cross-Site Scripting, XSS）漏洞，远程攻击者可以通过在请求中提供 `Accept: text/html`，向任何将攻击者可控数据传递给 `AutoFormat()` 功能的处理程序注入任意 HTML/JavaScript 代码。开发者通过调用 `AutoFormat()` 选择启用内容协商，但未针对特定请求选择输出原始 HTML；Fiber 会根据攻击者控制的 `Accept` 头选择相应的处理分支。`html` 分支是该方法中唯一的异常分支，而该方法名称（`AutoFormat`）及其对称结构明确暗示了“安全、与格式无关的响应”。该漏洞已在 2.52.12 和 3.1.0 版本中修复。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-04-28

披露

2026-05-12

管理

已接受

条目

VDB-362797

CPE

准备好

CWE

CWE-79 (已确认)

CVSS

6.1 (NVD)

EPSS

0.00040

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42554
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42554
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42554/

◂ 上一步一览下一步 ▸

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!