Tuliperis

**Nome do Software Vulnerável e Versões Afetadas** Versões do Fiber anteriores à 3.1.0 **Descrição** O uso do cookie `fiber flash` pode levar a uma alocação ilimitada em qualquer servidor. Um valor de cookie de 10 caracteres especialmente manipulado dispara uma tentativa de alocar até 85GB de memória através de desserialização msgpack não validada. Nenhuma autenticação é necessária, e todo endpoint do GoFiber v3 é afetado, independentemente de a aplicação utilizar mensagens flash ou não. O problema origina-se na função `parseAndClearFlashMessages()`, que decodifica o valor do cookie em hexadecimal e o passa diretamente para a desserialização msgpack sem validação de tamanho ou conteúdo. A desserialização auto-gerada `tinylib/msgp` lê um cabeçalho de array `uint32` do fluxo de bytes controlado pelo atacante e o usa diretamente em uma chamada `make()`, resultando na alocação ilimitada. A função vulnerável é `UnmarshalMsg()`. O valor do cookie é um cabeçalho msgpack array32 codificado em hexadecimal. **Recomendações** Atualize para a versão 3.1.0 ou posterior do Fiber.