کشف آسیب‌پذیری در فریم‌ورک Fiber

آسیب‌پذیری CVE-2025-66630 با شدت 9.2  در فریم‌ورک وب Fiber به دلیل عدم مدیریت خطا در تولید اعداد تصادفی امن ایجاد شده است. در نسخه‌های قبل از 2.52.11 و در محیط‌های Go قدیمی‌تر از 1.24، ماژول تصادفی‌سازی ممکن است خطا بازگرداند. اما Fiber این خطا را بررسی نمی‌کند و همچنان UUID تولید می‌شود. در نتیجه، شناسه‌ها ممکن است قابل پیش‌بینی یا تکراری باشند. این موضوع امنیت بخش‌هایی مانند نشست‌ها (Sessions، (CSRF، نرخ‌دهی (Rate Limiting) و Request-ID را تضعیف می‌کند. مهاجم می‌تواند از این ضعف برای جعل هویت یا دور زدن کنترل‌های امنیتی استفاده کند. این آسیب‌پذیری در نسخه 2.52.11 رفع شده است. به‌روزرسانی فوری توصیه می‌شود.

محصولات تحت‌تأثیر

• Fiber (Go Web Framework)
• نسخه‌های قبل از 2.52.11
• برنامه‌ها یا سرویس‌هایی که از Fiber نسخه‌های آسیب‌پذیر استفاده می‌کنند
• به‌ویژه آن‌هایی که از UUID برای Session, CSRF, Rate Limiting یا Request-ID بهره می‌برند

توصیه‌های امنیتی

• به‌روزرسانی فوری Fiber به نسخه 2.52.11 یا بالاتر.
• به‌روزرسانی Go به نسخه 1.24 یا بالاتر برای بهبود تصادفی‌سازی امن.
• بررسی و رفع هرگونه استفاده از UUIDهای قابل پیش‌بینی در middleware.
• افزودن بررسی خطا (error handling) هنگام تولید UUID.
• آزمایش‌های امنیتی (fuzzing/QA) برای مسیرهای حساس به شناسه‌های تصادفی.
• مانیتورینگ استفاده از UUID در بخش‌های حساس برنامه.
• استفاده از کتابخانه‌های تصادفی‌سازی معتبر و امن برای کاربردهای امنیتی.