Plateforme
go
Composant
goshs
Corrigé dans
2.0.1
La CVE-2026-35393 est une vulnérabilité de type "Path Traversal" critique affectant github.com/patrickhener/goshs. Elle permet à un attaquant de contourner les restrictions d'accès aux fichiers et potentiellement d'accéder à des fichiers sensibles sur le serveur. La vulnérabilité est corrigée dans la version 1.1.5-0.20260401172448-237f3af891a9.
La vulnérabilité CVE-2026-35393 dans goshs, un serveur HTTP simple écrit en Go, permet à un attaquant d'écrire des fichiers arbitraires sur le serveur. Cela est dû à un manque de sanitisation dans le répertoire de téléchargement multipart POST. Un attaquant pourrait exploiter cette vulnérabilité pour télécharger des fichiers malveillants, tels que des scripts ou des exécutables, qui pourraient ensuite être exécutés par le serveur ou servir de point d'entrée pour des attaques ultérieures. L'impact potentiel comprend la prise de contrôle du serveur, le vol de données sensibles ou un déni de service. La gravité de la vulnérabilité est notée 9.8 sur l'échelle CVSS, ce qui indique un risque critique.
Cette vulnérabilité est particulièrement préoccupante car goshs est souvent utilisé dans des environnements de développement et de test, où la sécurité n'est peut-être pas une priorité absolue. Un attaquant pourrait exploiter cette vulnérabilité pour obtenir un accès à des informations sensibles ou compromettre le système. La facilité d'exploitation, combinée à la prévalence de goshs dans des environnements non sécurisés, en fait un risque important. Le manque de sanitisation du répertoire de téléchargement permet à un attaquant de manipuler le chemin du fichier téléchargé, en écrasant des fichiers existants ou en créant de nouveaux fichiers dans des emplacements inattendus.
Small to medium-sized businesses and individuals using goshs as a simple HTTP server, particularly those hosting sensitive data or running applications that rely on file uploads. Shared hosting environments that utilize goshs are also at increased risk.
• go / server: Inspect goshs server logs for POST requests with unusual filenames containing path traversal sequences (e.g., ..).
• generic web: Use curl or wget to attempt uploading files with malicious filenames containing path traversal sequences and monitor server responses and file system changes.
disclosure
Statut de l'Exploit
EPSS
0.11% (percentile 29%)
CISA SSVC
Vecteur CVSS
La correction de cette vulnérabilité consiste à mettre à niveau goshs vers la version 2.0.0-beta.3 ou supérieure. Cette version inclut une correction qui sanitise correctement le répertoire de téléchargement multipart POST, empêchant l'écriture de fichiers arbitraires. Si une mise à niveau immédiate n'est pas possible, envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que la restriction de l'accès au serveur via des pare-feu et la surveillance des journaux du serveur pour détecter toute activité suspecte. L'application de la mise à niveau rapidement est essentielle pour atténuer le risque d'exploitation.
Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta versión corrige la falta de saneamiento en el directorio de carga de archivos multipart POST, previniendo el acceso no autorizado a archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
goshs est un serveur HTTP simple écrit en Go, utile pour servir rapidement des fichiers statiques.
Si vous utilisez une version de goshs antérieure à 2.0.0-beta.3, vous êtes vulnérable à cette vulnérabilité.
Mettez en œuvre des mesures de sécurité supplémentaires, telles que des pare-feu et la surveillance des journaux.
Actuellement, il n'existe pas d'outils spécifiques pour détecter cette vulnérabilité, mais la surveillance des journaux peut aider à identifier les activités suspectes.
Scripts (PHP, Python, etc.), exécutables et tout autre fichier qui peut être exécuté par le serveur ou utilisé pour compromettre le système.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.