Plattform
go
Komponente
github.com/patrickhener/goshs
Behoben in
2.0.1
1.1.5-0.20260401172448-237f3af891a9
CVE-2026-35392 describes a critical Path Traversal vulnerability discovered in goshs, a Go implementation of the SSH File System Protocol. This flaw allows attackers to upload arbitrary files to the server without authentication or any path sanitization. The vulnerability affects versions prior to 1.1.5-0.20260401172448-237f3af891a9, and a patch has been released to address the issue.
Die CVE-2026-35392-Schwachstelle in goshs ermöglicht einem Remote-Angreifer, beliebige Dateien auf dem Server zu schreiben. Dies ist auf einen Mangel an Pfadvalidierung in der PUT-Upload-Funktion zurückzuführen. Der Server verwendet direkt req.URL.Path, um den Speicherpfad zu erstellen, ohne eine Pfadbereinigung, ..-Prüfungen oder Webroot-Containment durchzuführen. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine PUT-Anfrage mit einem bösartigen Pfad sendet, der Sequenzen wie ../ enthält, wodurch er Dateien außerhalb des vorgesehenen Verzeichnisses überschreiben kann. Da keine Authentifizierung oder spezielle Konfiguration erforderlich ist, betrifft die Schwachstelle die Standardkonfiguration des Servers, was ein erhebliches Risiko für exponierte Systeme darstellt.
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine PUT-Anfrage an einen anfälligen goshs-Server sendet. Die Anfrage sollte einen bösartigen Pfad in der URL enthalten, der Sequenzen wie ../ enthält, um außerhalb des Web-Root-Verzeichnisses zu navigieren. Zum Beispiel PUT /../../etc/passwd. Der Server speichert die hochgeladene Datei ohne Pfadvalidierung am angegebenen Speicherort und überschreibt möglicherweise kritische Systemdateien. Die einfache Ausnutzbarkeit in Kombination mit dem Fehlen einer Authentifizierung macht diese Schwachstelle zu einem Problem mit hoher Priorität für die Behebung.
Organizations deploying goshs in production environments, particularly those without robust access controls or WAF protection, are at significant risk. Systems exposed directly to the internet or those with limited network segmentation are especially vulnerable. Shared hosting environments utilizing goshs are also at increased risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -f | grep -i 'upload' && grep -i 'path traversal'• generic web:
curl -X PUT --data-binary @evil.txt 'http://<target>/../../../../etc/passwd'disclosure
Exploit-Status
EPSS
0.11% (29% Perzentil)
CISA SSVC
CVSS-Vektor
Die empfohlene Abmilderung ist die Aktualisierung von goshs auf Version 1.1.5-0.20260401172448-237f3af891a9 oder höher. Diese Version behebt die Schwachstelle, indem sie eine ordnungsgemäße Pfadvalidierung implementiert. Als vorübergehende Lösung kann eine Web Application Firewall (WAF) implementiert werden, um PUT-Anfragen mit verdächtigen Pfaden zu blockieren. Darüber hinaus kann die Beschränkung des Zugriffs auf den goshs-Server auf vertrauenswürdige Quellen das Risiko einer Ausnutzung verringern. Es ist entscheidend, die Sicherheitsrichtlinien des Servers zu überprüfen und zu stärken, um zukünftige Vorfälle zu verhindern.
Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión incluye la sanitización adecuada de las rutas para prevenir el acceso no autorizado a archivos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
Das bedeutet, dass ein Angreifer Dateien an jedem beliebigen Ort im System schreiben kann, für den der Benutzer, der den goshs-Server ausführt, Schreibberechtigungen hat.
Führen Sie eine PUT-Anfrage an einen goshs-Server mit einem bösartigen Pfad aus, z. B. /../etc/passwd. Wenn die Datei am angegebenen Speicherort gespeichert wird, ist Ihr Server anfällig.
Eine WAF (Web Application Firewall) ist ein Sicherheitstool, das HTTP/HTTPS-Traffic filtert und bösartige Anfragen blockiert. Sie kann dazu beitragen, diese Schwachstelle zu mildern, indem PUT-Anfragen mit verdächtigen Pfaden blockiert werden.
Implementieren Sie eine WAF als vorübergehende Lösung und beschränken Sie den Zugriff auf den goshs-Server auf vertrauenswürdige Quellen.
Konsultieren Sie die Beschreibung der Schwachstelle in der CVE-Datenbank: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-35392
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.