Plataforma
go
Componente
github.com/patrickhener/goshs
Corregido en
2.0.1
1.1.5-0.20260401172448-237f3af891a9
La vulnerabilidad CVE-2026-35471 es un fallo de Path Traversal descubierto en goshs, una biblioteca Go para servidores HTTP. Esta falla permite a un atacante acceder a archivos sensibles en el servidor, incluso sin autenticación. Afecta a versiones anteriores a 1.1.5-0.20260401172448-237f3af891a9 y se ha solucionado en la versión 1.1.5-0.20260401172448-237f3af891a9.
Un atacante puede explotar esta vulnerabilidad enviando una solicitud HTTP maliciosa al endpoint /delete?delete. La función deleteFile en httpserver/handler.go no retorna después de verificar la presencia de .. en la ruta, lo que permite la manipulación de la ruta y el acceso a archivos fuera del directorio previsto. Esto podría resultar en la exposición de información confidencial como archivos de configuración, claves API o incluso código fuente. La falta de autenticación agrava el impacto, ya que cualquier usuario puede explotar la vulnerabilidad. La severidad CRÍTICA (CVSS 9.8) refleja el potencial de acceso no autorizado a datos sensibles y la facilidad de explotación.
La vulnerabilidad fue publicada el 3 de abril de 2026. Actualmente no se dispone de información sobre campañas de explotación activas. No se ha añadido a la lista KEV de CISA ni se ha identificado un EPSS score. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa relacionada con esta vulnerabilidad.
Organizations running goshs in production environments, particularly those with exposed file sharing services, are at significant risk. Shared hosting environments where multiple users share the same goshs instance are especially vulnerable, as an attacker could potentially exploit the vulnerability to access files belonging to other users. Systems with legacy goshs configurations lacking proper access controls are also at increased risk.
• linux / server:
journalctl -u goshs | grep -i "path traversal"• generic web:
curl -I http://your-goshs-server/delete?delete=../../../../etc/passwdCheck the response headers and body for any signs of file access or errors indicating path traversal. • generic web:
grep -r "filepath.FromSlash" /path/to/goshs/source/codeLook for instances of filepath.FromSlash that might be vulnerable to path traversal.
disclosure
Estado del Exploit
EPSS
0.11% (29% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión corregida de goshs, 1.1.5-0.20260401172448-237f3af891a9. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Esto incluye restringir el acceso al endpoint /delete a través de un firewall de aplicaciones web (WAF) o un proxy inverso, configurando reglas para bloquear solicitudes que contengan secuencias de .. en la ruta. Además, se debe revisar y endurecer la configuración del servidor para limitar los permisos de acceso a los archivos y directorios. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando que las solicitudes con rutas maliciosas sean rechazadas.
Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta versión corrige la falta de verificación adecuada de la ruta del archivo, previniendo el acceso no autorizado a archivos fuera del directorio restringido.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35471 is a critical vulnerability in goshs allowing attackers to read arbitrary files due to a missing return statement after a path traversal check in the file deletion handler.
You are affected if you are running goshs versions prior to 1.1.5-0.20260401172448-237f3af891a9. Assess your environment and upgrade immediately.
Upgrade to version 1.1.5-0.20260401172448-237f3af891a9 or later. As a temporary workaround, restrict access to the /delete endpoint using a WAF or proxy.
While no active exploitation has been confirmed, the vulnerability's simplicity and lack of authentication make it likely to be targeted. Monitor security advisories and threat intelligence feeds.
Refer to the goshs project's repository and associated security advisories for the latest information and updates regarding CVE-2026-35471.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.