【漏洞通告】Fiber跨站请求伪造漏洞（CVE-2023-45128）

Fiber是一个用Go编写的Web 框架，建立在Go最快的HTTP引擎Fasthttp之上，其设计目的是通过零内存分配和高性能来简化快速开发。

10月18日，启明星辰VSRC监测到Fiber中修复了CSRF令牌注入和重用漏洞（CVE-2023-45128）和CSRF令牌验证漏洞（CVE-2023-45141），详情如下：

CVE-2023-45141：Fiber CSRF令牌验证漏洞（高危）

该漏洞源于应用程序内CSRF令牌验证和执行不当，可能导致令牌重用。威胁者可利用该漏洞获取令牌并以受害用户的身份伪造恶意请求，可能导致以受害用户的身份执行未授权操作，该漏洞的CVSSv3评分为8.6。

CVE-2023-45128：Fiber CSRF令牌注入和重用漏洞（严重）

该漏洞源于应用程序内CSRF令牌验证和执行不当，可能导致CSRF令牌注入和令牌重用。未经身份验证的威胁者可利用该漏洞注入任意值并以受害用户的身份伪造恶意请求，可能导致以受害用户的身份执行各种恶意操作，该漏洞的CVSSv3评分为10.0。

二、影响范围

Fiber< 2.50.0

三、安全措施

3.1 升级版本

目前这些漏洞已经修复，受影响用户可升级到Fiber 2.50.0或更高版本。

下载链接：

https://github.com/gofiber/fiber/tags

3.2 临时措施

1.更新应用程序：使用漏洞修补程序将应用程序升级到固定版本。

2.实施正确的CSRF保护：查看更新的文档，确保应用程序的CSRF防护机制遵循最佳实践。

3.选择 CSRF 保护方法：根据应用程序的要求选择适当的 CSRF 保护方法，可以是双重提交 Cookie 方法，也可以是使用会话的同步器令牌模式。

4.安全测试：进行彻底的安全评估，包括渗透测试，以识别和解决任何其他安全漏洞。

5. 采取其它的安全措施，例如验证码或双因素身份验证 (2FA)，并使用 SameSite=Lax 或 SameSite=Secure 以及 Secure 和 HttpOnly 属性设置会话 cookie。

3.3 通用建议

定期更新系统补丁，减少系统漏洞，提升服务器的安全性。

加强系统和网络的访问控制，修改防火墙策略，关闭非必要的应用端口或服务，减少将危险服务（如SSH、RDP等）暴露到公网，减少攻击面。

使用企业级安全产品，提升企业的网络安全性能。

加强系统用户和权限管理，启用多因素认证机制和最小权限原则，用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。

3.4 参考链接

https://github.com/gofiber/fiber/security/advisories/GHSA-mv73-f69x-444p

https://github.com/gofiber/fiber/security/advisories/GHSA-94w9-97p3-p368

原文始发于微信公众号（维他命安全）：【漏洞通告】Fiber跨站请求伪造漏洞（CVE-2023-45128）