آسیبپذیری CVE-2025-66630 با شدت 9.2 در فریمورک وب Fiber به دلیل عدم مدیریت خطا در تولید اعداد تصادفی امن ایجاد شده است. در نسخههای قبل از 2.52.11 و در محیطهای Go قدیمیتر از 1.24، ماژول تصادفیسازی ممکن است خطا بازگرداند. اما Fiber این خطا را بررسی نمیکند و همچنان UUID تولید میشود. در نتیجه، شناسهها ممکن است قابل پیشبینی یا تکراری باشند. این موضوع امنیت بخشهایی مانند نشستها (Sessions، (CSRF، نرخدهی (Rate Limiting) و Request-ID را تضعیف میکند. مهاجم میتواند از این ضعف برای جعل هویت یا دور زدن کنترلهای امنیتی استفاده کند. این آسیبپذیری در نسخه 2.52.11 رفع شده است. بهروزرسانی فوری توصیه میشود.
- Fiber (Go Web Framework)
- نسخههای قبل از 2.52.11
- برنامهها یا سرویسهایی که از Fiber نسخههای آسیبپذیر استفاده میکنند
- بهویژه آنهایی که از UUID برای Session, CSRF, Rate Limiting یا Request-ID بهره میبرند
- بهروزرسانی فوری Fiber به نسخه 2.52.11 یا بالاتر.
- بهروزرسانی Go به نسخه 1.24 یا بالاتر برای بهبود تصادفیسازی امن.
- بررسی و رفع هرگونه استفاده از UUIDهای قابل پیشبینی در middleware.
- افزودن بررسی خطا (error handling) هنگام تولید UUID.
- آزمایشهای امنیتی (fuzzing/QA) برای مسیرهای حساس به شناسههای تصادفی.
- مانیتورینگ استفاده از UUID در بخشهای حساس برنامه.
- استفاده از کتابخانههای تصادفیسازی معتبر و امن برای کاربردهای امنیتی.