关键漏洞信息 漏洞类型 拒绝服务 (DoS) 通过路由参数溢出 影响版本 GitHub.com/gofiber/fiber/v2: <= 2.52.11 GitHub.com/gofiber/fiber/v3: <= 3.0.0 修复版本 GitHub.com/gofiber/fiber/v2: 2.52.12 GitHub.com/gofiber/fiber/v3: 3.1.0 漏洞描述 结合路由注册中缺失的验证和请求匹配期间的无边界数组写入,Fiber v2 和 v3 中存在一个拒绝服务漏洞,允许远程攻击者通过发送超过30个参数的请求到路由来崩溃应用程序。 严重程度 低 (CVSS 7.5) - 攻击向量: 网络 (远程可利用) - 攻击复杂度: 低 (单一 HTTP 请求) - 所需权限: 无 (无需身份验证) - 影响: 高可用性影响 (服务完全中断) 漏洞细节与根本原因 Fiber v2 和 v3 在 ctx.go 中定义了一个固定大小的参数数组。 代码在 path.go 中执行无边界写入,导致运行时恐慌。 攻击情景示例 1. 应用程序注册超过30个参数的路由。 2. 攻击者发送匹配的 HTTP 请求。 3. 服务器在处理请求时崩溃。 漏洞利用需满足条件 无认证需求 单一 HTTP 请求触发崩溃 持续 DoS 攻击易脚本化 适用于任何超过30个参数以上的路由 影响 公共API潜在远程DoS攻击 微服务宕机扩散 自动扩展因重复崩溃不能正常恢复 监控系统因日志泛滥和告警疲劳受损 总结 该漏洞表明,任何使用上述受影响版本的Fiber框架的应用程序可能遭受简单的DoS攻击。为了缓解这一风险,用户需要升级到修复版本,并根据工作区建议采取预防措施。