Fiber — это веб-фреймворк, вдохновленный Express, написанный на Go. В Fiber v2 и v3 существует уязвимость отказа в обслуживании, которая позволяет удаленным злоумышленникам аварийно завершить работу приложения, отправив запросы на маршруты с более чем 30 параметрами. Уязвимость возникает из-за отсутствия проверки при регистрации маршрута в сочетании с записью в неограниченный массив во время сопоставления запросов.
Версия 2.52.12 исправляет проблему в ветке v2, а версия 3.1.0 исправляет проблему в ветке v3.
Показать оригинальное описание (EN)
Fiber is an Express inspired web framework written in Go. A denial of service vulnerability exists in Fiber v2 and v3 that allows remote attackers to crash the application by sending requests to routes with more than 30 parameters. The vulnerability results from missing validation during route registration combined with an unbounded array write during request matching. Version 2.52.12 patches the issue in the v2 branch and 3.1.0 patches the issue in the v3 branch.
Характеристики атаки
Последствия
Строка CVSS v4.0