CVE-2026-30246 CVSS 6.5 中危

CVE-2026-30246: Fiber缓存键冲突致信息泄露

披露日期: 2026-05-05

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-30246

漏洞类型

逻辑漏洞

CVSS评分

6.5 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

无需交互 (UI:N)

影响产品

Fiber (Web Framework for Go)

漏洞概述

Fiber是Go语言的Web框架。在版本3.1.0及之前，其缓存中间件的默认键生成器仅依赖请求路径，未包含查询字符串。当不同用户请求相同路径但携带不同查询参数时，会命中同一个缓存键，导致返回错误的缓存响应。这可能引发数据混淆，泄露本应属于其他请求的数据。

技术细节

该漏洞源于Fiber缓存中间件默认配置的键生成逻辑缺陷。在生成缓存Key时，程序仅提取了请求的路径部分，而完全忽略了URL中的查询参数。因此，对于`/api/user?id=1001`和`/api/user?id=1002`这两个请求，系统会生成完全相同的缓存键。当第一个请求被服务器处理并缓存后，后续所有相同路径的请求将直接复用该缓存，无视查询参数的差异。攻击者可利用此机制，通过发送特定参数的请求将敏感数据（如个人账户信息）写入缓存，诱导其他用户访问相同路径，从而使其接收并缓存到属于他人的数据，实现信息窃取或越权访问。

攻击链分析

STEP 1

侦察阶段

攻击者识别目标应用使用Fiber框架且存在默认配置的缓存中间件。

STEP 2

缓存污染

攻击者向目标端点（如 /api/data）发送包含特定参数（如 ?id=admin）的请求，服务器响应并将敏感数据存入缓存。

STEP 3

触发漏洞

攻击者诱导受害者或自动化脚本请求相同的端点但使用不同参数（如 ?id=victim）。

STEP 4

数据泄露

由于缓存键冲突，服务器直接返回了此前攻击者请求产生的缓存数据，导致受害者或攻击者获取了非预期的敏感信息。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

package main

import (
	"fmt"
	"github.com/gofiber/fiber/v3"
	"github.com/gofiber/fiber/v3/middleware/cache"
)

func main() {
	app := fiber.New()

	// Enable cache middleware with default settings (Vulnerable)
	app.Use(cache.New())

	app.Get("/profile", func(c fiber.Ctx) error {
		userID := c.Query("id", "guest")
		// Simulate sensitive data retrieval based on query param
		return c.SendString("Profile Data for User: " + userID)
	})

	// Scenario simulation
	// 1. Attacker requests profile for 'admin', response is cached under key '/profile'
	// 2. Victim requests profile for 'user1', but receives cached 'admin' data
	fmt.Println("Server running on vulnerable configuration...")
	app.Listen(":3000")
}

影响范围

Fiber <= 3.1.0

防御指南

临时缓解措施

在无法立即升级版本的情况下，应禁用受影响的缓存中间件，或者修改代码配置，实现自定义的CacheKey生成函数，确保将请求的Query参数（Query String）纳入Hash计算范围，从而区分不同参数的请求。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表