Plattform
go
Komponente
goshs
Behoben in
2.0.1
CVE-2026-35393 describes a critical Path Traversal vulnerability affecting the goshs SimpleHTTPServer. This flaw allows attackers to potentially read sensitive files on the server by exploiting insufficient sanitization of the multipart upload directory. Versions of goshs prior to 2.0.0-beta.3 are vulnerable, and a fix is available in version 2.0.0-beta.3.
Die CVE-2026-35393-Schwachstelle in goshs, einem einfachen HTTPServer, der in Go geschrieben ist, ermöglicht es einem Angreifer, beliebige Dateien auf dem Server zu schreiben. Dies ist auf einen Mangel an Validierung im Multipart-POST-Upload-Verzeichnis zurückzuführen. Ein Angreifer könnte diese Schwachstelle ausnutzen, um bösartige Dateien wie Skripte oder ausführbare Dateien hochzuladen, die dann vom Server ausgeführt werden oder als Ausgangspunkt für weitere Angriffe dienen könnten. Der potenzielle Schaden umfasst die Übernahme des Servers, den Diebstahl sensibler Daten oder eine Dienstverweigerung. Die Schwere der Schwachstelle wird mit 9,8 auf der CVSS-Skala bewertet, was ein kritisches Risiko anzeigt.
Diese Schwachstelle ist besonders besorgniserregend, da goshs oft in Entwicklungsumgebungen eingesetzt wird, in denen die Sicherheit möglicherweise nicht oberste Priorität hat. Ein Angreifer könnte diese Schwachstelle ausnutzen, um Zugriff auf sensible Informationen zu erhalten oder das System zu kompromittieren. Die einfache Ausnutzbarkeit, kombiniert mit der Verbreitung von goshs in unsicheren Umgebungen, macht es zu einem erheblichen Risiko. Das Fehlen einer Validierung des Upload-Verzeichnisses ermöglicht es einem Angreifer, den Pfad der hochgeladenen Datei zu manipulieren, bestehende Dateien zu überschreiben oder neue Dateien an unerwarteten Orten zu erstellen.
Small to medium-sized businesses and individuals using goshs as a simple HTTP server, particularly those hosting sensitive data or running applications that rely on file uploads. Shared hosting environments that utilize goshs are also at increased risk.
• go / server: Inspect goshs server logs for POST requests with unusual filenames containing path traversal sequences (e.g., ..).
• generic web: Use curl or wget to attempt uploading files with malicious filenames containing path traversal sequences and monitor server responses and file system changes.
disclosure
Exploit-Status
EPSS
0.11% (29% Perzentil)
CISA SSVC
CVSS-Vektor
Die Behebung dieser Schwachstelle besteht darin, goshs auf Version 2.0.0-beta.3 oder höher zu aktualisieren. Diese Version enthält eine Korrektur, die das Multipart-POST-Upload-Verzeichnis ordnungsgemäß validiert und so das Schreiben beliebiger Dateien verhindert. Wenn ein sofortiges Update nicht möglich ist, sollten Sie zusätzliche Sicherheitsmaßnahmen ergreifen, z. B. den Zugriff auf den Server über Firewalls einschränken und die Serverprotokolle auf verdächtige Aktivitäten überwachen. Die zeitnahe Anwendung des Updates ist entscheidend, um das Risiko einer Ausnutzung zu mindern.
Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta versión corrige la falta de saneamiento en el directorio de carga de archivos multipart POST, previniendo el acceso no autorizado a archivos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
goshs ist ein einfacher HTTPServer, der in Go geschrieben ist und zum schnellen Bereitstellen statischer Dateien verwendet wird.
Wenn Sie eine Version von goshs vor 2.0.0-beta.3 verwenden, sind Sie anfällig für diese Schwachstelle.
Implementieren Sie zusätzliche Sicherheitsmaßnahmen wie Firewalls und Protokollüberwachung.
Derzeit gibt es keine spezifischen Tools, um diese Schwachstelle zu erkennen, aber die Protokollüberwachung kann helfen, verdächtige Aktivitäten zu identifizieren.
Skripte (PHP, Python usw.), ausführbare Dateien und alle anderen Dateien, die vom Server ausgeführt oder zur Kompromittierung des Systems verwendet werden können.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.