CVE-2026-25899

Nome do Software Vulnerável e Versões Afetadas Versões do Fiber anteriores à 3.1.0

Descrição O uso do cookie fiber flash pode levar a uma alocação ilimitada em qualquer servidor. Um valor de cookie de 10 caracteres especialmente manipulado dispara uma tentativa de alocar até 85GB de memória através de desserialização msgpack não validada. Nenhuma autenticação é necessária, e todo endpoint do GoFiber v3 é afetado, independentemente de a aplicação utilizar mensagens flash ou não. O problema origina-se na função parseAndClearFlashMessages(), que decodifica o valor do cookie em hexadecimal e o passa diretamente para a desserialização msgpack sem validação de tamanho ou conteúdo. A desserialização auto-gerada tinylib/msgp lê um cabeçalho de array uint32 do fluxo de bytes controlado pelo atacante e o usa diretamente em uma chamada make(), resultando na alocação ilimitada. A função vulnerável é UnmarshalMsg(). O valor do cookie é um cabeçalho msgpack array32 codificado em hexadecimal.

Recomendações Atualize para a versão 3.1.0 ou posterior do Fiber.