2026/02/11 CyberSecurityNews — Go Web フレームワーク Fiber v2 において、深刻な脆弱性 CVE-2025-66630 (CVSS v4:9.2:Critical) が発見された。この脆弱性を悪用する攻撃者は、ユーザー・セッションの乗っ取り/セキュリティ保護の回避/サービス妨害を引き起こす可能性がある。この脆弱性は、Go 1.23 以下で動作するすべての Fiber v2 バージョンに影響を及ぼすものであり、2月初旬にフレームワークのメンテナーにより報告された。
この問題は、Fiber v2 の Universally Unique Identifier (UUID) 生成関数に存在する。この関数は、セッション/CSRF トークンなどの、セキュリティにおける重要コンポーネントの一意の識別子生成に広く使用されている。
システムの乱数生成器が、まれに発生し得る、安全な乱数を提供できない状況において、これらの関数は開発者に警告することなく、予測可能な “ゼロ UUID” (00000000-0000-0000-0000-000000000000) を生成するフォールバックへと静かに切り替わる。
このサイレント失敗が生じても、セキュリティトークンが予測可能になっていることを開発者が把握できないため、きわめて危険な状況に陥る。
| Attribute | Details |
|---|---|
| CVE ID | CVE-2025-66630 |
| CVSS v4.0 | 9.2 (AV:N/AC:H/PR:N/UI:N) |
| CWE | CWE-338 (Weak PRNG) |
| Affected Versions | < 2.52.11 (Go 1.23 or earlier) |
| Impact | Predictable UUID fallback to zero UUID |
この問題により、Go 1.23 以下を使用しているユーザーに顕著な影響が生じる。新しいバージョンでは、乱数生成失敗時の挙動が変更され、エラーを返すのではなくブロックまたは panic で対処している。
実際の攻撃シナリオ
予測可能な UUID 生成は、複数のセキュリティ・リスクを生じる。この欠陥を突く攻撃者は、セッション識別子を予測でき、認証情報を盗まずに正規ユーザーを装うことが可能になる。
これらの UUID に依存する Cross-Site Request Forgery (CSRF) 保護メカニズムは無効化され、この種の攻撃を阻止できなくなる。認証トークンも推測可能となり、保護されたリソースへの不正アクセスが発生し得る。
特に深刻なのは、DoS 攻撃のリスクである。複数ユーザーに対して、同一のゼロ UUID が割り当てられると、セッションストアやレートリミッターが単一キーへ収束し、データ上書きやシステム不安定化を引き起こす。
最新の Linux システムにおいて、乱数生成の失敗はまれである。しかし、この問題により、特定の環境ではリスクが高まる。コンテナ化アプリケーション/サンドボックス化プロセス/組み込みデバイス/適切な乱数ソース (/dev/urandom) がアクセスされないミスコンフィグ・システムは、特に影響を受けやすい。
サンドボックス環境や制限されたセキュリティ・ポリシーを持つシステムであっても、この脆弱性を誘発する可能性がある。公開されたセキュリティ・アドバイザリによると、この深刻な脆弱性を修正する Fiber v2.52.11 がリリースされている。
Fiber v2 を使用している組織にとって必要なことは、この修正版への速やかなアップグレードである。システム管理者が行うべきことは、自身の環境が安全な乱数ソースへ適切にアクセスしていることの確認である。同一のセッション識別子が、繰り返し発生していないことをログで確認し、悪用の兆候を監視する必要がある。
この問題の原因は、Go 言語の Web フレームワークである Fiber v2 が識別子 UUID を生成する際に、安全な乱数が取得できない状況に陥ると、エラーを出さずに “ゼロ UUID” を秘密裏に発行してしまうという仕組みにあります。UUID は、セッション ID や CSRF 対策トークンなどの、きわめて重要な鍵として使われるものです。本来であれば、乱数生成に失敗した場合には処理を止めるべきですが、固定値である “00000000-0000-0000-0000-000000000000” を代わりに使って動作を継続してしまう問題があります。その結果として、この “ゼロ” の値を予測する攻撃者が、他人のセッションを乗っ取るといった侵害が成立してしまいます。ご利用のチームは、ご注意ください。よろしければ、Fiber での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.