Kostenlos scannen
CRITICALCVE-2026-35392CVSS 9.8

goshs: Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal') in goshs PUT Upload

Plattform

go

Komponente

github.com/patrickhener/goshs

Behoben in

2.0.1

1.1.5-0.20260401172448-237f3af891a9

AI Confidence: highNVDEPSS 0.1%Geprüft: Mai 2026
Auf NVD ansehen
Speichern
Wird in Ihre Sprache übersetzt…

CVE-2026-35392 describes a critical Path Traversal vulnerability discovered in goshs, a Go implementation of the SSH File System Protocol. This flaw allows attackers to upload arbitrary files to the server without authentication or any path sanitization. The vulnerability affects versions prior to 1.1.5-0.20260401172448-237f3af891a9, and a patch has been released to address the issue.

Go

Erkenne diese CVE in deinem Projekt

Lade deine go.mod-Datei hoch und wir sagen dir sofort, ob du betroffen bist.

go.mod hochladen

Auswirkungen und Angriffsszenarien

Die CVE-2026-35392-Schwachstelle in goshs ermöglicht einem Remote-Angreifer, beliebige Dateien auf dem Server zu schreiben. Dies ist auf einen Mangel an Pfadvalidierung in der PUT-Upload-Funktion zurückzuführen. Der Server verwendet direkt req.URL.Path, um den Speicherpfad zu erstellen, ohne eine Pfadbereinigung, ..-Prüfungen oder Webroot-Containment durchzuführen. Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine PUT-Anfrage mit einem bösartigen Pfad sendet, der Sequenzen wie ../ enthält, wodurch er Dateien außerhalb des vorgesehenen Verzeichnisses überschreiben kann. Da keine Authentifizierung oder spezielle Konfiguration erforderlich ist, betrifft die Schwachstelle die Standardkonfiguration des Servers, was ein erhebliches Risiko für exponierte Systeme darstellt.

Ausnutzungskontext

Ein Angreifer kann diese Schwachstelle ausnutzen, indem er eine PUT-Anfrage an einen anfälligen goshs-Server sendet. Die Anfrage sollte einen bösartigen Pfad in der URL enthalten, der Sequenzen wie ../ enthält, um außerhalb des Web-Root-Verzeichnisses zu navigieren. Zum Beispiel PUT /../../etc/passwd. Der Server speichert die hochgeladene Datei ohne Pfadvalidierung am angegebenen Speicherort und überschreibt möglicherweise kritische Systemdateien. Die einfache Ausnutzbarkeit in Kombination mit dem Fehlen einer Authentifizierung macht diese Schwachstelle zu einem Problem mit hoher Priorität für die Behebung.

Wer Ist Gefährdetwird übersetzt…

Organizations deploying goshs in production environments, particularly those without robust access controls or WAF protection, are at significant risk. Systems exposed directly to the internet or those with limited network segmentation are especially vulnerable. Shared hosting environments utilizing goshs are also at increased risk due to the potential for cross-tenant exploitation.

Erkennungsschrittewird übersetzt…

• linux / server:

journalctl -f | grep -i 'upload' && grep -i 'path traversal'

• generic web:

curl -X PUT --data-binary @evil.txt 'http://<target>/../../../../etc/passwd'

Angriffszeitlinie

  1. Disclosure

    disclosure

Bedrohungsanalyse

Exploit-Status

Proof of ConceptUnbekannt
CISA KEVNO
Internet-ExponierungHoch
Berichte3 Bedrohungsberichte

EPSS

0.11% (29% Perzentil)

CISA SSVC

Ausnutzungpoc
Automatisierbaryes
Technische Auswirkungtotal

CVSS-Vektor

BEDROHUNGSANALYSE· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkWie der Angreifer das Ziel erreichtAttack ComplexityLowBedingungen zur erfolgreichen AusnutzungPrivileges RequiredNoneErforderliche AuthentifizierungsstufeUser InteractionNoneOb ein Opfer eine Aktion ausführen mussScopeUnchangedAuswirkungen über die Komponente hinausConfidentialityHighRisiko der Offenlegung sensibler DatenIntegrityHighRisiko nicht autorisierter DatenänderungAvailabilityHighRisiko der Dienstunterbrechungnextguardhq.com · CVSS v3.1 Basis-Score
Was bedeuten diese Metriken?
Attack Vector
Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
Attack Complexity
Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
Privileges Required
Keine — ohne Authentifizierung ausnutzbar. Keine Zugangsdaten erforderlich.
User Interaction
Keine — automatischer und lautloser Angriff. Das Opfer tut nichts.
Scope
Unverändert — Auswirkung auf das anfällige Komponente beschränkt.
Confidentiality
Hoch — vollständiger Vertraulichkeitsverlust. Angreifer kann alle Daten lesen.
Integrity
Hoch — Angreifer kann beliebige Daten schreiben, ändern oder löschen.
Availability
Hoch — vollständiger Absturz oder Ressourcenerschöpfung. Totaler Denial of Service.

Betroffene Software

Komponentegithub.com/patrickhener/goshs
Herstellerosv
Betroffener BereichBehoben in
< 2.0.0-beta.3 – < 2.0.0-beta.32.0.1
1.1.5-0.20260401172448-237f3af891a9

Schwachstellen-Klassifikation (CWE)

CWE-22

Zeitleiste

  1. Reserviert
  2. Veröffentlicht
  3. Geändert
  4. EPSS aktualisiert

Mitigation und Workarounds

Die empfohlene Abmilderung ist die Aktualisierung von goshs auf Version 1.1.5-0.20260401172448-237f3af891a9 oder höher. Diese Version behebt die Schwachstelle, indem sie eine ordnungsgemäße Pfadvalidierung implementiert. Als vorübergehende Lösung kann eine Web Application Firewall (WAF) implementiert werden, um PUT-Anfragen mit verdächtigen Pfaden zu blockieren. Darüber hinaus kann die Beschränkung des Zugriffs auf den goshs-Server auf vertrauenswürdige Quellen das Risiko einer Ausnutzung verringern. Es ist entscheidend, die Sicherheitsrichtlinien des Servers zu überprüfen und zu stärken, um zukünftige Vorfälle zu verhindern.

So behebenwird übersetzt…

Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión incluye la sanitización adecuada de las rutas para prevenir el acceso no autorizado a archivos.

CVE-Sicherheitsnewsletter

Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.

Häufig gestellte Fragen

Was ist CVE-2026-35392 — Path Traversal in github.com/patrickhener/goshs?

Das bedeutet, dass ein Angreifer Dateien an jedem beliebigen Ort im System schreiben kann, für den der Benutzer, der den goshs-Server ausführt, Schreibberechtigungen hat.

Bin ich von CVE-2026-35392 in github.com/patrickhener/goshs betroffen?

Führen Sie eine PUT-Anfrage an einen goshs-Server mit einem bösartigen Pfad aus, z. B. /../etc/passwd. Wenn die Datei am angegebenen Speicherort gespeichert wird, ist Ihr Server anfällig.

Wie behebe ich CVE-2026-35392 in github.com/patrickhener/goshs?

Eine WAF (Web Application Firewall) ist ein Sicherheitstool, das HTTP/HTTPS-Traffic filtert und bösartige Anfragen blockiert. Sie kann dazu beitragen, diese Schwachstelle zu mildern, indem PUT-Anfragen mit verdächtigen Pfaden blockiert werden.

Wird CVE-2026-35392 aktiv ausgenutzt?

Implementieren Sie eine WAF als vorübergehende Lösung und beschränken Sie den Zugriff auf den goshs-Server auf vertrauenswürdige Quellen.

Wo finde ich den offiziellen github.com/patrickhener/goshs-Hinweis für CVE-2026-35392?

Konsultieren Sie die Beschreibung der Schwachstelle in der CVE-Datenbank: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-35392

Ist dein Projekt betroffen?

Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.

Kostenlos scannenCVEs suchen