प्लेटफ़ॉर्म
go
घटक
goshs
में ठीक किया गया
2.0.1
CVE-2026-35393, github.com/patrickhener/goshs में एक पाथ ट्रैवर्सल भेद्यता है। POST मल्टीपार्ट अपलोड में असुरक्षित निर्देशिका के कारण, हमलावर मनमाने फ़ाइलों को लिख सकते हैं। यह भेद्यता डिफ़ॉल्ट कॉन्फ़िगरेशन को प्रभावित करती है और संस्करण 1.1.5-0.20260401172448-237f3af891a9 में ठीक कर दी गई है।
goshs (Go में लिखा गया एक सरल HTTPServer) में CVE-2026-35393 भेद्यता हमलावरों को सर्वर पर मनमाना फ़ाइलें लिखने की अनुमति देती है। यह मल्टीपार्ट POST अपलोड निर्देशिका में सत्यापन की कमी के कारण है। एक हमलावर इस भेद्यता का उपयोग दुर्भावनापूर्ण फ़ाइलों, जैसे स्क्रिप्ट या निष्पादन योग्य फ़ाइलों को अपलोड करने के लिए कर सकता है, जिन्हें तब सर्वर द्वारा निष्पादित किया जा सकता है या आगे के हमलों के लिए एक प्रवेश बिंदु के रूप में काम किया जा सकता है। संभावित प्रभाव में सर्वर का अधिग्रहण, संवेदनशील डेटा की चोरी या सेवा से इनकार शामिल है। इस भेद्यता को CVSS पैमाने पर 9.8 के रूप में रेट किया गया है, जो एक गंभीर जोखिम दर्शाता है।
यह भेद्यता विशेष रूप से चिंताजनक है क्योंकि goshs का उपयोग अक्सर विकास और परीक्षण वातावरण में किया जाता है, जहां सुरक्षा सर्वोच्च प्राथमिकता नहीं हो सकती है। एक हमलावर इस भेद्यता का उपयोग संवेदनशील जानकारी तक पहुंचने या सिस्टम को समझौता करने के लिए कर सकता है। शोषण में आसानी, असुरक्षित वातावरण में goshs की व्यापकता को देखते हुए, यह एक महत्वपूर्ण जोखिम है। अपलोड निर्देशिका के सत्यापन की कमी हमलावर को अपलोड की गई फ़ाइल के पथ में हेरफेर करने की अनुमति देती है, मौजूदा फ़ाइलों को ओवरराइट करती है या अप्रत्याशित स्थानों पर नई फ़ाइलें बनाती है।
Small to medium-sized businesses and individuals using goshs as a simple HTTP server, particularly those hosting sensitive data or running applications that rely on file uploads. Shared hosting environments that utilize goshs are also at increased risk.
• go / server: Inspect goshs server logs for POST requests with unusual filenames containing path traversal sequences (e.g., ..).
• generic web: Use curl or wget to attempt uploading files with malicious filenames containing path traversal sequences and monitor server responses and file system changes.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.11% (29% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता के लिए समाधान goshs को संस्करण 2.0.0-beta.3 या उच्चतर में अपग्रेड करना है। इस संस्करण में एक फिक्स शामिल है जो मल्टीपार्ट POST अपलोड निर्देशिका को ठीक से मान्य करता है, जिससे मनमाना फ़ाइलों को लिखना रोका जा सकता है। यदि तत्काल अपग्रेड संभव नहीं है, तो फ़ायरवॉल के माध्यम से सर्वर तक पहुंच को प्रतिबंधित करने और संदिग्ध गतिविधि के लिए सर्वर लॉग की निगरानी करने जैसे अतिरिक्त सुरक्षा उपाय करने पर विचार करें। शोषण के जोखिम को कम करने के लिए जितनी जल्दी हो सके अपडेट लागू करना महत्वपूर्ण है।
Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta versión corrige la falta de saneamiento en el directorio de carga de archivos multipart POST, previniendo el acceso no autorizado a archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
goshs Go में लिखा गया एक सरल HTTPServer है, जिसका उपयोग स्थिर फ़ाइलों को जल्दी से परोसने के लिए किया जाता है।
यदि आप goshs के 2.0.0-beta.3 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता के प्रति संवेदनशील हैं।
फ़ायरवॉल और लॉग निगरानी जैसे अतिरिक्त सुरक्षा उपाय लागू करें।
वर्तमान में इस भेद्यता का पता लगाने के लिए कोई विशिष्ट उपकरण नहीं है, लेकिन लॉग निगरानी संदिग्ध गतिविधि की पहचान करने में मदद कर सकती है।
स्क्रिप्ट (PHP, Python, आदि), निष्पादन योग्य फ़ाइलें और कोई भी अन्य फ़ाइल जिसे सर्वर द्वारा निष्पादित किया जा सकता है या सिस्टम को समझौता करने के लिए उपयोग किया जा सकता है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।