Vulnerabilidad en Fiber (CVE-2024-25124)

Fiber es un framework web escrito en go. Antes de la versión 2.52.1, el middleware CORS permitía configuraciones inseguras que podrían exponer la aplicación a múltiples vulnerabilidades relacionadas con CORS. Específicamente, permite establecer el encabezado Access-Control-Allow-Origin en un comodín (`*`) y al mismo tiempo tener Access-Control-Allow-Credentials establecido en verdadero, lo que va en contra de las mejores prácticas de seguridad recomendadas. El impacto de esta mala configuración es alto, ya que puede conducir a un acceso no autorizado a datos confidenciales del usuario y exponer el sistema a varios tipos de ataques enumerados en el artículo de PortSwigger vinculado en las referencias. La versión 2.52.1 contiene un parche para este problema. Como workaround, los usuarios pueden validar manualmente las configuraciones de CORS en su implementación para asegurarse de que no permitan un origen comodín cuando las credenciales estén habilitadas. La API de recuperación del navegador, así como los navegadores y las utilidades que aplican las políticas CORS, no se ven afectados por esto.