一、基本情况
Fiber是一个用Go编写的Web框架,建立在Go最快的HTTP引擎Fasthttp之上,其设计目的是通过零内存分配和高性能来简化快速开发。
二、 漏洞描述
Fiber中修复了CSRF令牌注入和重用漏洞(CVE-2023-45128)和CSRF令牌验证漏洞(CVE-2023-45141),详情如下:
CVE-2023-45141:Fiber CSRF令牌验证漏洞(高危)
该漏洞源于应用程序内CSRF令牌验证和执行不当,可能导致令牌重用。威胁者可利用该漏洞获取令牌并以受害用户的身份伪造恶意请求,可能导致以受害用户的身份执行未授权操作,该漏洞的CVSSv3评分为8.6。
CVE-2023-45128:Fiber CSRF令牌注入和重用漏洞(严重)
该漏洞源于应用程序内CSRF令牌验证和执行不当,可能导致CSRF令牌注入和令牌重用。未经身份验证的威胁者可利用该漏洞注入任意值并以受害用户的身份伪造恶意请求,可能导致以受害用户的身份执行各种恶意操作,该漏洞的CVSSv3评分为10.0。
三、 影响范围
Fiber< 2.50.0
四、 修复建议
目前这些漏洞已经修复,受影响用户可升级到Fiber 2.50.0或更高版本。
