CVE-2026-25891

Nome do Software Vulnerável e Versões Afetadas Versões do Fiber 3.0.0 e anteriores Versões do Fiber 3.0.0 até 3.0.0

Descrição Existe uma falha de Path Traversal no Fiber, potencialmente permitindo que um atacante remoto contorne o sanitizador do middleware static e leia arquivos arbitrários no sistema de arquivos do servidor em Windows. O problema decorre de uma combinação de fatores: uma verificação de caracteres de barra invertida ocorrendo antes da decodificação da URL e o uso de path.Clean, que foi projetado para caminhos separados por barras e não reconhece barras invertidas como separadores de diretório. Isso permite que atacantes naveguem para cima na árvore de diretórios usando sequências como ..... O código vulnerável reside na função sanitizePath dentro de middleware/static/static.go. A exploração permite o traversal de diretório no servidor host, potencialmente permitindo que atacantes acessem arquivos sensíveis, incluindo arquivos de configuração, código-fonte e arquivos do sistema.

Recomendações Atualize para a versão 3.1.0 ou posterior do Fiber.