CVE-2026-25882

Nome do Software Vulnerável e Versões Afetadas Versões do Fiber anteriores a 2.52.12 Versões do Fiber anteriores a 3.0.1

Descrição O Fiber é um framework web inspirado no Express, escrito em Go. Existe uma vulnerabilidade de negação de serviço no Fiber que permite que atacantes remotos derrubem a aplicação enviando requisições para rotas com mais de 30 parâmetros. Isso se deve à falta de validação durante o registro de rotas e a uma escrita em array sem limites durante a correspondência de requisições. A vulnerabilidade afeta as versões 2 e 3. A exploração não requer autenticação e apenas uma única requisição HTTP. O problema pode levar a indisponibilidades de API pública, falhas em microsserviços e fadiga de alertas. O código vulnerável está localizado em path.go nas linhas 514 (v3) e 516 (v2).

Recomendações Para versões anteriores a 2.52.12, atualize para a versão 2.52.12 ou posterior. Para versões anteriores a 3.0.1, atualize para a versão 3.0.1 ou posterior. Como solução temporária, audite as rotas para garantir que todas tenham 30 ou menos parâmetros. Como solução temporária, desative o roteamento dinâmico e valide a contagem de parâmetros durante o registro de rotas. Como solução temporária, implemente limitação de taxa (rate limiting) agressiva para mitigar potenciais ataques de negação de serviço. Como solução temporária, implemente monitoramento para alertar sobre padrões de panic nos logs da aplicação.