Renewerner87

**Nome do software vulnerável e versões afetadas** Versões do GoFiber anteriores à 2.52.5 **Descrição** Um problema no middleware de sessão nas versões 2 e superiores do GoFiber permite que os usuários forneçam seu próprio valor de `session id`, resultando na criação de uma sessão com essa chave. Se um site depende da mera presença de uma sessão para fins de segurança, isso pode levar a riscos de segurança significativos, incluindo acesso não autorizado e ataques de fixação de sessão. Todos os usuários que utilizam o middleware de sessão do GoFiber nas versões afetadas são impactados. **Recomendações** Para mitigar esse problema, recomenda-se fortemente que os usuários atualizem para a versão 2.52.5 ou superior. Para usuários que não possam atualizar imediatamente, é necessário implementar validação adicional para garantir que os `session ids` não sejam fornecidos pelo usuário e sejam gerados com segurança pelo servidor, ou então alternar regularmente os `session ids` e aplicar políticas rígidas de expiração de sessão.

**Name of the Vulnerable Software and Affected Versions** Fiber versions prior to 2.50.0 **Description** A Cross-Site Request Forgery (CSRF) vulnerability has been identified in the application, which allows an attacker to obtain tokens and forge malicious requests on behalf of a user. This can lead to unauthorized actions being taken on the user's behalf, potentially compromising the security and integrity of the application. The vulnerability is caused by improper validation and enforcement of CSRF tokens within the application, specifically due to the lack of token association with the original requestor. **Recommendations** For versions prior to 2.50.0, upgrade to version 2.50.0 or later to address the vulnerability. As a temporary workaround, consider implementing proper CSRF protection mechanisms, such as the Double Submit Cookie method or the Synchronizer Token Pattern using sessions. Additionally, users should take extra security measures like captchas or Two-Factor Authentication (2FA) and set Session cookies with SameSite=Lax or SameSite=Secure, and the Secure and HttpOnly attributes.