CRITICAL🇬🇧 English

CVE-2026-35393

Path traversal w Goshs — brak sanityzacji katalogu przy uploadzie plików

CVSS 9.8v3.0pub. 2026-04-06upd. 2026-04-09

Podatność path traversal w aplikacji Goshs (SimpleHTTPServer napisany w Go) umożliwia atakującemu zapis pliku poza zamierzonym katalogiem poprzez manipulację ścieżką przy multipart upload. Ze względu na brak wymagania uwierzytelnienia i sieciowy wektor ataku, zagrożenie jest ocenione jako krytyczne (CVSS 9.8).

Pokaż oryginał (EN)

goshs is a SimpleHTTPServer written in Go. Prior to 2.0.0-beta.3, the POST multipart upload directory not sanitized. This vulnerability is fixed in 2.0.0-beta.3.

🤖 Analiza AI
Jak działa

Podczas obsługi żądania POST z danymi multipart (upload pliku) aplikacja nie sanityzuje ścieżki docelowego katalogu. Atakujący może przesłać specjalnie spreparowane żądanie zawierające sekwencje path traversal (np. '../'), co pozwala zapisać plik w dowolnym miejscu w systemie plików dostępnym dla procesu serwera. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący może zapisać dowolny plik w nieautoryzowanej lokalizacji systemu plików, co potencjalnie prowadzi do naruszenia poufności i integralności danych, a w skrajnych przypadkach — do wykonania kodu lub przejęcia kontroli nad systemem (np. poprzez nadpisanie plików konfiguracyjnych lub skryptów startowych).

Mitygacja

Należy zaktualizować Goshs do wersji 2.0.0-beta.3 lub nowszej, w której podatność została naprawiona. Do czasu aktualizacji zaleca się ograniczenie dostępu sieciowego do instancji Goshs wyłącznie do zaufanych hostów.

Kogo dotyczy

Goshs w wersjach wcześniejszych niż 2.0.0-beta.3

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Goshs

    APP
    Goshs
    2.0.0< 2.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-40884CRITICAL9.8PL ✓ten sam produkt

Pominięcie uwierzytelnienia SFTP w serwerze goshs (auth bypass)

CVE-2026-40903CRITICAL9.1PL ✓ten sam produkt

Goshs: wyciek tokenu GITHUB_TOKEN przez artefakty workflow (ArtiPACKED)

CVE-2026-40189CRITICAL9.3PL ✓ten sam produkt

Authorization bypass w goshs — ominięcie ACL bez uwierzytelnienia

CVE-2026-35471CRITICAL9.8PL ✓ten sam produkt

Path traversal w Goshs — brak return po walidacji ścieżki w deleteFile()

CVE-2026-35392CRITICAL9.8PL ✓ten sam produkt

Path traversal w goshs — brak sanityzacji ścieżki przy PUT upload