CVE-2024-38513

Versões do GoFiber anteriores à 2.52.5

Um problema no middleware de sessão nas versões 2 e superiores do GoFiber permite que os usuários forneçam seu próprio valor de session id, resultando na criação de uma sessão com essa chave. Se um site depende da mera presença de uma sessão para fins de segurança, isso pode levar a riscos de segurança significativos, incluindo acesso não autorizado e ataques de fixação de sessão. Todos os usuários que utilizam o middleware de sessão do GoFiber nas versões afetadas são impactados.

Para mitigar esse problema, recomenda-se fortemente que os usuários atualizem para a versão 2.52.5 ou superior.

Para usuários que não possam atualizar imediatamente, é necessário implementar validação adicional para garantir que os session ids não sejam fornecidos pelo usuário e sejam gerados com segurança pelo servidor, ou então alternar regularmente os session ids e aplicar políticas rígidas de expiração de sessão.