关于Fiber跨站请求伪造漏洞（CVE-2023-45128）的安全预警

一、 基本情况

Fiber是一个用Go编写的Web 框架，建立在Go最快的HTTP引擎Fasthttp之上，其设计目的是通过零内存分配和高性能来简化快速开发。

二、 漏洞描述

Fiber中修复了CSRF令牌注入和重用漏洞（CVE-2023-45128）和CSRF令牌验证漏洞（CVE-2023-45141），详情如下：

CVE-2023-45141：Fiber CSRF令牌验证漏洞（高危）

该漏洞源于应用程序内CSRF令牌验证和执行不当，可能导致令牌重用。威胁者可利用该漏洞获取令牌并以受害用户的身份伪造恶意请求，可能导致以受害用户的身份执行未授权操作，该漏洞的CVSSv3评分为8.6。

CVE-2023-45128：Fiber CSRF令牌注入和重用漏洞（严重）

该漏洞源于应用程序内CSRF令牌验证和执行不当，可能导致CSRF令牌注入和令牌重用。未经身份验证的威胁者可利用该漏洞注入任意值并以受害用户的身份伪造恶意请求，可能导致以受害用户的身份执行各种恶意操作，该漏洞的CVSSv3评分为10.0。

三、 影响范围

Fiber< 2.50.0

四、 修复建议

目前这些漏洞已经修复，受影响用户可升级到Fiber 2.50.0或更高版本。

下载链接：

 https://github.com/gofiber/fiber/tags

临时措施：

1.更新应用程序：使用漏洞修补程序将应用程序升级到固定版本。

2.实施正确的CSRF保护：查看更新的文档，确保应用程序的CSRF防护机制遵循最佳实践。

3.选择 CSRF 保护方法：根据应用程序的要求选择适当的 CSRF 保护方法，可以是双重提交 Cookie 方法，也可以是使用会话的同步器令牌模式。

4.安全测试：进行彻底的安全评估，包括渗透测试，以识别和解决任何其他安全漏洞。

5. 采取其它的安全措施，例如验证码或双因素身份验证 (2FA)，并使用 SameSite=Lax 或 SameSite=Secure 以及 Secure 和 HttpOnly 属性设置会话 cookie。

五、 参考链接

https://github.com/gofiber/fiber/security/advisories/GHSA-mv73-f69x-444p

https://github.com/gofiber/fiber/security/advisories/GHSA-94w9-97p3-p368