CVE-2026-42554

Nome do Software Vulnerável e Versões Afetadas Fiber versões anteriores a 2.52.12 Fiber versões anteriores a 3.1.0

Descrição Um problema de Cross-Site Scripting existe no framework web Go Fiber. Um invasor remoto pode injetar HTML ou JavaScript arbitrário ao fornecer o cabeçalho Accept: text/html em uma requisição onde o manipulador passa dados influenciados pelo invasor para o recurso AutoFormat(). Enquanto outros formatos como JSON, XML, MsgPack e CBOR utilizam codificadores que neutralizam a marcação, o ramo HTML na função AutoFormat() (e Format() na versão 2) concatena os dados diretamente na marcação HTML sem codificação de saída. Isso ocorre porque o framework seleciona o formato da resposta com base no cabeçalho Accept controlado pelo invasor, permitindo que este force a execução do ramo HTML não escapado.

Recomendações Atualize para a versão 2.52.12 ou posterior. Atualize para a versão 3.1.0 ou posterior. Como medida paliativa temporária, evite usar a função AutoFormat() ou a função Format() ao manipular dados que possam ser influenciados por usuários.