CRITICAL🇬🇧 English

CVE-2026-35471

Path traversal w Goshs — brak return po walidacji ścieżki w deleteFile()

CVSS 9.8v3.0pub. 2026-04-06upd. 2026-04-09

Goshs, będący implementacją SimpleHTTPServer w języku Go, zawiera krytyczną podatność typu path traversal w funkcji deleteFile(). Brak instrukcji return po sprawdzeniu ścieżki pozwala atakującemu ominąć zabezpieczenie i uzyskać dostęp do plików poza dozwolonym katalogiem.

Pokaż oryginał (EN)

goshs is a SimpleHTTPServer written in Go. Prior to 2.0.0-beta.3, tdeleteFile() missing return after path traversal check. This vulnerability is fixed in 2.0.0-beta.3.

🤖 Analiza AI
Jak działa

Funkcja deleteFile() przeprowadza sprawdzenie ścieżki pod kątem path traversal, jednak po wykryciu nieprawidłowej ścieżki nie przerywa wykonania kodu — brakuje instrukcji return. W rezultacie dalsze przetwarzanie żądania jest kontynuowane mimo negatywnej walidacji, co umożliwia atakującemu manipulowanie ścieżką (np. za pomocą sekwencji '../') w celu wyjścia poza katalog roboczy serwera i operowania na dowolnych plikach systemu.

Skutki

Atakujący zdalny, nieuwierzytelniony może odczytywać, modyfikować lub usuwać dowolne pliki dostępne dla procesu serwera, co prowadzi do naruszenia poufności, integralności i dostępności danych.

Mitygacja

Należy zaktualizować Goshs do wersji 2.0.0-beta.3 lub nowszej, w której podatność została naprawiona. Szczegóły dostępne w repozytorium projektu oraz w poradniku bezpieczeństwa GHSA-6qcc-6q27-whp8.

Kogo dotyczy

Goshs (github.com/patrickhener/goshs) w wersjach poprzedzających 2.0.0-beta.3

Uwagi

Podatność zgłoszona i naprawiona w wersji 2.0.0-beta.3. Szczegóły opublikowano w GitHub Security Advisory GHSA-6qcc-6q27-whp8.

CVSS Vector
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Goshs

    APP
    Goshs
    2.0.0< 2.0.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje

Powiązane podatności

CVE-2026-40884CRITICAL9.8PL ✓ten sam produkt

Pominięcie uwierzytelnienia SFTP w serwerze goshs (auth bypass)

CVE-2026-40903CRITICAL9.1PL ✓ten sam produkt

Goshs: wyciek tokenu GITHUB_TOKEN przez artefakty workflow (ArtiPACKED)

CVE-2026-40189CRITICAL9.3PL ✓ten sam produkt

Authorization bypass w goshs — ominięcie ACL bez uwierzytelnienia

CVE-2026-35393CRITICAL9.8PL ✓ten sam produkt

Path traversal w Goshs — brak sanityzacji katalogu przy uploadzie plików

CVE-2026-35392CRITICAL9.8PL ✓ten sam produkt

Path traversal w goshs — brak sanityzacji ścieżki przy PUT upload

CVE-2026-35471 — Path traversal w Goshs — brak return po walidacji ścieżki w deleteFile() — CRITICAL 9.8 | CVEbaza.pl