关键信息 漏洞概述 漏洞名称: Crash in Due to Unvalidated Large Slice Index in Decoder CVE ID: CVE-2025-54801 GHSA ID: GHSA-qx2q-88mx-vhg7 严重性: High (8.7/10) 影响版本与修复版本 受影响版本: 2.52.8 已修复版本: 2.52.9 描述 问题描述: 当使用Fiber的 解析包含大数值键(表示切片索引)的表单数据时,应用程序会因底层模式解码器中的越界切片分配而崩溃。 根本原因: 解码器尝试分配长度为 的切片,但未验证索引是否在安全或合理的范围内。如果 过大,会导致整数溢出或内存耗尽,从而引发恐慌或崩溃。 复现步骤 创建一个接受 数据的POST请求处理器。 运行服务器并发送带有大数值键的POST请求。 相关代码片段 影响 应用程序可能因恶意或格式错误的输入而出现恐慌或崩溃。 可能通过内存耗尽或服务器崩溃导致拒绝服务(DoS)。 缺乏防御性检查使解析代码不稳定。 弱点 CWE-789: Uncontrolled Memory Allocation