CVE-2020-15111

Versões do Fiber anteriores à 1.12.6

O problema decorre da sanitização inadequada de entradas na função c.Attachment(), permitindo que um nome de arquivo maliciosamente construído injete cabeçalhos adicionais em uma resposta HTTP. Isso pode levar a um ataque de injeção de CRLF, no qual um invasor poderia fazer upload de um nome de arquivo personalizado, alterar o nome do arquivo baixado, redirecionar para outro site ou alterar o cabeçalho de autorização.

Para versões anteriores à 1.12.6, uma possível solução alternativa é serializar a entrada antes de passá-la para ctx.Attachment(). Este problema foi corrigido na versão 1.12.6, portanto, atualizar para esta versão ou posterior resolverá o problema.