Plateforme
go
Composant
goshs
Corrigé dans
2.0.1
2.0.0-beta.6
La vulnérabilité CVE-2026-40883 est une faille de Cross-Site Request Forgery (CSRF) découverte dans goshs. Cette faille permet à un attaquant d'exploiter une session utilisateur authentifiée pour effectuer des actions non autorisées, telles que la suppression de fichiers ou la création de répertoires. Elle affecte les versions 2.0.0-beta.4 et toutes les versions antérieures à 2.0.0-beta.6. Une version corrigée (2.0.0-beta.6) est désormais disponible.
Un attaquant peut exploiter cette vulnérabilité CSRF en créant une requête HTTP malveillante, par exemple un lien ou une image, que l'utilisateur authentifié est amené à cliquer ou à charger. Si l'utilisateur est connecté à goshs et interagit avec cette requête, l'attaquant peut exécuter des actions destructives en son nom. Cela peut inclure la suppression de fichiers importants, la création de nouveaux répertoires, ou la modification de la configuration de goshs. L'impact potentiel est élevé, car un attaquant peut compromettre l'intégrité du système et potentiellement prendre le contrôle de certaines fonctionnalités.
La vulnérabilité a été rendue publique le 2026-04-21. Il n'y a pas d'indications d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme moyenne en raison de la nature de la vulnérabilité CSRF et de la nécessité d'une interaction de l'utilisateur. Il n'y a pas d'entrée dans le KEV (CISA Known Exploited Vulnerabilities) à ce jour.
Organizations and individuals using goshs version 2.0.0-beta.4 through 2.0.0-beta.5, particularly those deploying goshs in automated environments or as part of configuration management systems, are at significant risk. Shared hosting environments where multiple users share a goshs instance are also particularly vulnerable.
• linux / server:
ps aux | grep goshs• generic web:
curl -I https://your-goshs-server.com/?mkdir
curl -I https://your-goshs-server.com/?deleteCheck access logs for unusual GET requests to / with parameters like ?mkdir or ?delete originating from unexpected IP addresses.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
La mitigation principale consiste à mettre à jour goshs vers la version 2.0.0-beta.6 ou supérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer la sécurité des routes sensibles en ajoutant une validation CSRF. Cela peut impliquer l'utilisation de tokens CSRF, la vérification de l'en-tête Origin ou Referer, ou la mise en œuvre d'une authentification plus robuste. En attendant la mise à jour, il est conseillé de limiter l'accès aux routes sensibles et de sensibiliser les utilisateurs aux risques liés aux clics sur des liens suspects. Après la mise à jour, vérifiez que les routes sensibles nécessitent une authentification forte et qu'aucune requête non autorisée ne peut être exécutée.
Mettez à jour goshs à la version 2.0.0-beta.6 ou supérieure pour atténuer la vulnérabilité CSRF. Cette version implémente des validations appropriées pour prévenir les actions destructives via les routes GET modifiant l'état.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40883 is a cross-site request forgery (CSRF) vulnerability affecting goshs versions 2.0.0-beta.4 through 2.0.0-beta.5, allowing attackers to trigger destructive actions.
You are affected if you are running goshs version 2.0.0-beta.4 or 2.0.0-beta.5. Check your version and upgrade immediately.
Upgrade to goshs version 2.0.0-beta.6 or later to resolve the CSRF vulnerability. Consider WAF rules as a temporary mitigation.
There is currently no confirmed active exploitation, but the vulnerability's simplicity suggests potential for future attacks.
Refer to the goshs project's official communication channels and release notes for the advisory related to CVE-2026-40883.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.