मुफ्त स्कैन करें
CRITICALCVE-2026-35393CVSS 9.8

goshs: goshs POST मल्टीपार्ट अपलोड में एक प्रतिबंधित निर्देशिका ('पाथ ट्रैवर्सल') में पाथनाम की अनुचित सीमा

प्लेटफ़ॉर्म

go

घटक

goshs

में ठीक किया गया

2.0.1

AI Confidence: highNVDEPSS 0.1%समीक्षित: मई 2026
NVD पर देखें
सहेजें

CVE-2026-35393, github.com/patrickhener/goshs में एक पाथ ट्रैवर्सल भेद्यता है। POST मल्टीपार्ट अपलोड में असुरक्षित निर्देशिका के कारण, हमलावर मनमाने फ़ाइलों को लिख सकते हैं। यह भेद्यता डिफ़ॉल्ट कॉन्फ़िगरेशन को प्रभावित करती है और संस्करण 1.1.5-0.20260401172448-237f3af891a9 में ठीक कर दी गई है।

Go

इस CVE को अपने प्रोजेक्ट में पहचानें

अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।

go.mod अपलोड करें

प्रभाव और हमले की स्थितियाँ

goshs (Go में लिखा गया एक सरल HTTPServer) में CVE-2026-35393 भेद्यता हमलावरों को सर्वर पर मनमाना फ़ाइलें लिखने की अनुमति देती है। यह मल्टीपार्ट POST अपलोड निर्देशिका में सत्यापन की कमी के कारण है। एक हमलावर इस भेद्यता का उपयोग दुर्भावनापूर्ण फ़ाइलों, जैसे स्क्रिप्ट या निष्पादन योग्य फ़ाइलों को अपलोड करने के लिए कर सकता है, जिन्हें तब सर्वर द्वारा निष्पादित किया जा सकता है या आगे के हमलों के लिए एक प्रवेश बिंदु के रूप में काम किया जा सकता है। संभावित प्रभाव में सर्वर का अधिग्रहण, संवेदनशील डेटा की चोरी या सेवा से इनकार शामिल है। इस भेद्यता को CVSS पैमाने पर 9.8 के रूप में रेट किया गया है, जो एक गंभीर जोखिम दर्शाता है।

शोषण संदर्भ

यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि goshs का उपयोग अक्सर विकास और परीक्षण वातावरण में किया जाता है, जहां सुरक्षा सर्वोच्च प्राथमिकता नहीं हो सकती है। एक हमलावर इस भेद्यता का उपयोग संवेदनशील जानकारी तक पहुंचने या सिस्टम को समझौता करने के लिए कर सकता है। शोषण में आसानी, असुरक्षित वातावरण में goshs की व्यापकता को देखते हुए, यह एक महत्वपूर्ण जोखिम है। अपलोड निर्देशिका के सत्यापन की कमी हमलावर को अपलोड की गई फ़ाइल के पथ में हेरफेर करने की अनुमति देती है, मौजूदा फ़ाइलों को ओवरराइट करती है या अप्रत्याशित स्थानों पर नई फ़ाइलें बनाती है।

कौन जोखिम में हैअनुवाद हो रहा है…

Small to medium-sized businesses and individuals using goshs as a simple HTTP server, particularly those hosting sensitive data or running applications that rely on file uploads. Shared hosting environments that utilize goshs are also at increased risk.

पहचान के चरणअनुवाद हो रहा है…

• go / server: Inspect goshs server logs for POST requests with unusual filenames containing path traversal sequences (e.g., ..). • generic web: Use curl or wget to attempt uploading files with malicious filenames containing path traversal sequences and monitor server responses and file system changes.

हमले की समयरेखा

  1. Disclosure

    disclosure

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट1 खतरा रिपोर्ट

EPSS

0.11% (29% शतमक)

CISA SSVC

शोषणpoc
स्वचालनीयyes
तकनीकी प्रभावtotal

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H9.8CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredNoneहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeUnchangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
कोई नहीं — बिना प्रमाणीकरण के शोषण योग्य।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
अपरिवर्तित — प्रभाव केवल कमज़ोर घटक तक सीमित।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकgoshs
विक्रेताpatrickhener
प्रभावित श्रेणीमें ठीक किया गया
< 2.0.0-beta.3 – < 2.0.0-beta.32.0.1

कमजोरी वर्गीकरण (CWE)

CWE-22

समयरेखा

  1. आरक्षित
  2. प्रकाशित
  3. संशोधित
  4. EPSS अद्यतन

शमन और वर्कअराउंड

इस भेद्यता के लिए समाधान goshs को संस्करण 2.0.0-beta.3 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो मल्टीपार्ट POST अपलोड निर्देशिका को ठीक से मान्य करता है, जिससे मनमाना फ़ाइलों को लिखना रोका जा सकता है। यदि तत्काल अपग्रेड संभव नहीं है, तो फ़ायरवॉल के माध्यम से सर्वर तक पहुंच को प्रतिबंधित करने और संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करने जैसे अतिरिक्त सुरक्षा उपाय करने पर विचार करें। शोषण के जोखिम को कम करने के लिए जितनी जल्दी हो सके अपडेट लागू करना महत्वपूर्ण है।

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta versión corrige la falta de saneamiento en el directorio de carga de archivos multipart POST, previniendo el acceso no autorizado a archivos.

CVE सुरक्षा न्यूज़लेटर

भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।

अक्सर पूछे जाने वाले सवाल

CVE-2026-35393 क्या है — goshs में Path Traversal?

goshs Go में लिखा गया एक सरल HTTPServer है, जिसका उपयोग स्थिर फ़ाइलों को जल्दी से परोसने के लिए किया जाता है।

क्या मैं goshs में CVE-2026-35393 से प्रभावित हूं?

यदि आप goshs के 2.0.0-beta.3 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता के प्रति संवेदनशील हैं।

goshs में CVE-2026-35393 को कैसे ठीक करें?

फ़ायरवॉल और लॉग निगरानी जैसे अतिरिक्त सुरक्षा उपाय लागू करें।

क्या CVE-2026-35393 का सक्रिय रूप से शोषण किया जा रहा है?

वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन लॉग निगरानी संदिग्ध गतिविधि की पहचान करने में मदद कर सकती है।

CVE-2026-35393 के लिए goshs का आधिकारिक सुरक्षा सलाह कहां मिलेगी?

स्क्रिप्ट (PHP, Python, आदि), निष्पादन योग्य फ़ाइलें और कोई भी अन्य फ़ाइल जिसे सर्वर द्वारा निष्पादित किया जा सकता है या सिस्टम को समझौता करने के लिए उपयोग किया जा सकता है।

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें