Plateforme
go
Composant
github.com/patrickhener/goshs
Corrigé dans
2.0.1
1.1.5
goshs est un serveur HTTP simple écrit en Go. Avant la version 2.0.0-beta.4, goshs applique le mécanisme documenté d'ACL/authentification basique par dossier pour les listes de répertoires et les lectures de fichiers, mais ne vérifie pas les mêmes contrôles d'autorisation pour les routes modifiant l'état. Un attaquant non authentifié peut uploader des fichiers avec PUT, uploader des fichiers avec multipart POST /upload, créer des répertoires avec ?mkdir et supprimer des fichiers avec ?delete à l'intérieur d'un répertoire protégé par .goshs.
La vulnérabilité CVE-2026-40189 dans goshs permet à un attaquant non authentifié d'effectuer des actions modifiant l'état au sein de répertoires protégés par un fichier .goshs. Bien que goshs implémente correctement l'authentification de base et les listes de contrôle d'accès (ACL) pour l'affichage des répertoires et la lecture des fichiers, il n'applique pas les mêmes restrictions aux routes qui modifient l'état du serveur, telles que le téléversement de fichiers (PUT, multipart POST /upload), la création de répertoires (?mkdir) et la suppression de fichiers (?delete). La gravité de cette vulnérabilité est notée 9,8 sur l'échelle CVSS, ce qui indique un risque critique. Un attaquant pourrait compromettre l'intégrité des données stockées sur le serveur goshs et, en supprimant le fichier .goshs lui-même, désactiver complètement la protection du répertoire.
Un attaquant pourrait exploiter cette vulnérabilité s'il a un accès réseau à l'endroit où goshs est en cours d'exécution. Elle ne nécessite pas d'authentification préalable, car la validation de l'autorisation est absente dans les routes modifiant l'état. L'attaquant pourrait utiliser des outils standard tels que curl ou wget pour envoyer des requêtes PUT, POST et DELETE avec les paramètres nécessaires pour téléverser, créer ou supprimer des fichiers et des répertoires. La suppression du fichier .goshs est une action particulièrement dangereuse, car elle désactive la protection du répertoire, permettant à l'attaquant d'effectuer n'importe quelle opération sans restrictions. La facilité d'exploitation et l'impact potentiel font de cette vulnérabilité une menace importante.
Organizations using goshs for directory listing and file serving, particularly those relying on the .goshs file for authentication, are at risk. Shared hosting environments where multiple users share a goshs instance are especially vulnerable, as an attacker could potentially compromise the entire hosting environment.
• linux / server:
journalctl -u goshs -g 'file upload' | grep -i unauthorized• generic web:
curl -I <goshs_endpoint>/?delete
curl -I <goshs_endpoint>/upload• generic web:
grep -i 'unauthorized access' <access_logs>disclosure
Statut de l'Exploit
EPSS
0.14% (percentile 34%)
CISA SSVC
Vecteur CVSS
L'atténuation principale pour CVE-2026-40189 consiste à mettre à jour goshs vers la version 2.0.0-beta.4 ou supérieure. Cette version corrige l'absence de validation d'autorisation dans les routes modifiant l'état. En attendant que la mise à jour soit effectuée, il est recommandé de désactiver temporairement les fonctions de téléversement, de création et de suppression dans les répertoires protégés par .goshs. Il est également essentiel de revoir et de renforcer les politiques de sécurité du serveur, y compris la configuration des pare-feu et des systèmes de détection d'intrusion pour surveiller et bloquer les activités suspectes. La mise à jour doit être effectuée dès que possible pour minimiser le risque d'exploitation.
Actualice goshs a la versión 2.0.0-beta.4 o superior para mitigar la vulnerabilidad de bypass de autorización. Esta actualización implementa las comprobaciones de autorización necesarias para las rutas que modifican el estado, previniendo la subida no autorizada de archivos, la creación de directorios y la eliminación de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
goshs est un serveur de fichiers simple et sécurisé qui permet de partager des fichiers via une interface web.
Cette version corrige la vulnérabilité CVE-2026-40189, qui permet aux attaquants non authentifiés de modifier des fichiers et des répertoires.
Désactivez temporairement les fonctions de téléversement, de création et de suppression dans les répertoires protégés par .goshs.
Si vous utilisez une version antérieure à 2.0.0-beta.4, vous êtes probablement vulnérable.
Passez en revue et renforcez les politiques de sécurité du serveur, y compris les pare-feu et les systèmes de détection d'intrusion.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.