Plattform
go
Komponente
github.com/patrickhener/goshs
Behoben in
2.0.1
1.1.5
goshs, a SimpleHTTPServer written in Go, exhibits a vulnerability where authorization checks are not consistently enforced for state-changing routes within .goshs-protected directories. An unauthenticated attacker can upload files, create directories, and delete files within these directories, potentially bypassing security measures. The issue is resolved in version 2.0.0-beta.4.
Die CVE-2026-40189-Schwachstelle in goshs ermöglicht einem nicht authentifizierten Angreifer, Zustandsändernde Aktionen innerhalb von Verzeichnissen durchzuführen, die durch eine .goshs-Datei geschützt sind. Obwohl goshs die grundlegende Authentifizierung und ACLs (Zugriffskontrolllisten) für die Verzeichnisauflistung und die Dateilesung korrekt implementiert, werden diese Einschränkungen nicht auf Routen angewendet, die den Serverstatus ändern, wie z. B. das Hochladen von Dateien (PUT, multipart POST /upload), das Erstellen von Verzeichnissen (?mkdir) und das Löschen von Dateien (?delete). Die Schwere dieser Schwachstelle wird mit 9,8 auf der CVSS-Skala bewertet, was ein kritisches Risiko anzeigt. Ein Angreifer könnte die Integrität der auf dem goshs-Server gespeicherten Daten gefährden und durch das Löschen der .goshs-Datei selbst den Schutz des Verzeichnisses vollständig deaktivieren.
Ein Angreifer könnte diese Schwachstelle ausnutzen, wenn er Netzwerkzugriff auf den Ort hat, an dem goshs ausgeführt wird. Es ist keine vorherige Authentifizierung erforderlich, da die Autorisierungsvalidierung in Zustandsändernden Routen fehlt. Der Angreifer könnte Standardtools wie curl oder wget verwenden, um PUT- , POST- und DELETE-Anfragen mit den erforderlichen Parametern zum Hochladen, Erstellen oder Löschen von Dateien und Verzeichnissen zu senden. Das Löschen der .goshs-Datei ist eine besonders gefährliche Aktion, da sie den Schutz des Verzeichnisses deaktiviert und dem Angreifer ermöglicht, beliebige Operationen ohne Einschränkungen durchzuführen. Die einfache Ausnutzbarkeit und das potenzielle Risiko machen diese Schwachstelle zu einer erheblichen Bedrohung.
Organizations using goshs for directory listing and file serving, particularly those relying on the .goshs file for authentication, are at risk. Shared hosting environments where multiple users share a goshs instance are especially vulnerable, as an attacker could potentially compromise the entire hosting environment.
• linux / server:
journalctl -u goshs -g 'file upload' | grep -i unauthorized• generic web:
curl -I <goshs_endpoint>/?delete
curl -I <goshs_endpoint>/upload• generic web:
grep -i 'unauthorized access' <access_logs>disclosure
Exploit-Status
EPSS
0.14% (34% Perzentil)
CISA SSVC
CVSS-Vektor
Die primäre Abhilfemaßnahme für CVE-2026-40189 ist die Aktualisierung von goshs auf Version 2.0.0-beta.4 oder höher. Diese Version behebt den Mangel an Autorisierungsvalidierung in Zustandsändernden Routen. Bis die Aktualisierung durchgeführt wurde, wird empfohlen, die Upload-, Erstellungs- und Löschfunktionen innerhalb von Verzeichnissen, die durch .goshs geschützt sind, vorübergehend zu deaktivieren. Es ist auch entscheidend, die Sicherheitspolicen des Servers zu überprüfen und zu verstärken, einschließlich der Konfiguration von Firewalls und Intrusion Detection Systems, um verdächtige Aktivitäten zu überwachen und zu blockieren. Die Aktualisierung sollte so schnell wie möglich durchgeführt werden, um das Risiko einer Ausnutzung zu minimieren.
Actualice goshs a la versión 2.0.0-beta.4 o superior para mitigar la vulnerabilidad de bypass de autorización. Esta actualización implementa las comprobaciones de autorización necesarias para las rutas que modifican el estado, previniendo la subida no autorizada de archivos, la creación de directorios y la eliminación de archivos.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
goshs ist ein einfacher und sicherer Dateiserver, der das Teilen von Dateien über eine Web-Schnittstelle ermöglicht.
Diese Version behebt die CVE-2026-40189-Schwachstelle, die es nicht authentifizierten Angreifern ermöglicht, Dateien und Verzeichnisse zu ändern.
Deaktivieren Sie vorübergehend die Upload-, Erstellungs- und Löschfunktionen in Verzeichnissen, die durch .goshs geschützt sind.
Wenn Sie eine Version vor 2.0.0-beta.4 verwenden, sind Sie wahrscheinlich anfällig.
Überprüfen und verstärken Sie die Sicherheitspolicen des Servers, einschließlich Firewalls und Intrusion Detection Systems.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.