CRITICAL🇬🇧 English

CVE-2026-35392

Path traversal w goshs — brak sanityzacji ścieżki przy PUT upload

CVSS 9.8v3.0pub. 2026-04-06upd. 2026-04-09

Aplikacja goshs (SimpleHTTPServer napisany w Go) w wersjach wcześniejszych niż 2.0.0-beta.3 nie przeprowadza sanityzacji ścieżki podczas operacji PUT upload, co stanowi podatność typu path traversal. Krytyczny poziom CVSS 9.8 oznacza, że atakujący nieuwierzytelniony zdalnie może zapisywać pliki w dowolnym miejscu systemu plików serwera.

Pokaż oryginał (EN)

goshs is a SimpleHTTPServer written in Go. Prior to 2.0.0-beta.3, PUT upload in httpserver/updown.go has no path sanitization. This vulnerability is fixed in 2.0.0-beta.3.

🤖 Analiza AI
Jak działa

Podatność znajduje się w pliku httpserver/updown.go odpowiedzialnym za obsługę żądań PUT. Podczas wgrywania pliku serwer nie weryfikuje ani nie oczyszcza podanej przez klienta ścieżki docelowej. Atakujący może spreparować żądanie HTTP PUT zawierające sekwencje path traversal (np. '../../../'), które pozwolą na zapisanie pliku poza dozwolonym katalogiem roboczym serwera.

Skutki

Atakujący może zapisać dowolny plik w wybranym miejscu systemu plików dostępnym dla procesu goshs, co może prowadzić do naruszenia poufności, integralności oraz dostępności systemu — w tym do wykonania złośliwego kodu poprzez nadpisanie krytycznych plików konfiguracyjnych lub binarnych.

Mitygacja

Należy zaktualizować goshs do wersji 2.0.0-beta.3 lub nowszej, w której podatność została naprawiona. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji goshs wyłącznie do zaufanych hostów oraz wyłączenie funkcji PUT upload jeśli nie jest wymagana.

Kogo dotyczy

Goshs we wszystkich wersjach przed 2.0.0-beta.3

Uwagi

Podatność została zgłoszona i naprawiona przez autora projektu — szczegóły dostępne w security advisory repozytorium GitHub: GHSA-g8mv-vp7j-qp64.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Goshs

    APP
    Goshs
    2.0.0< 2.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-40884CRITICAL9.8PL ✓ten sam produkt

Pominięcie uwierzytelnienia SFTP w serwerze goshs (auth bypass)

CVE-2026-40903CRITICAL9.1PL ✓ten sam produkt

Goshs: wyciek tokenu GITHUB_TOKEN przez artefakty workflow (ArtiPACKED)

CVE-2026-40189CRITICAL9.3PL ✓ten sam produkt

Authorization bypass w goshs — ominięcie ACL bez uwierzytelnienia

CVE-2026-35471CRITICAL9.8PL ✓ten sam produkt

Path traversal w Goshs — brak return po walidacji ścieżki w deleteFile()

CVE-2026-35393CRITICAL9.8PL ✓ten sam produkt

Path traversal w Goshs — brak sanityzacji katalogu przy uploadzie plików