goshs असुरक्षा: CVE-2026-40189 – अनधिकृत फ़ाइल अपलोड

goshs में CVE-2026-40189 एक अनधिकृत हमलावर को .goshs फ़ाइल द्वारा संरक्षित निर्देशिकाओं में राज्य बदलने वाले क्रियाएं करने की अनुमति देता है। जबकि goshs निर्देशिका सूची और फ़ाइल पठन के लिए बुनियादी प्रमाणीकरण और ACL (एक्सेस कंट्रोल लिस्ट) को सही ढंग से लागू करता है, यह सर्वर की स्थिति को संशोधित करने वाले मार्गों पर समान प्रतिबंध लागू नहीं करता है, जैसे कि फ़ाइल अपलोड (PUT, multipart POST /upload), निर्देशिका निर्माण (?mkdir) और फ़ाइल विलोपन (delete)। इस भेद्यता की गंभीरता को CVSS पैमाने पर 9.8 के रूप में रेट किया गया है, जो एक महत्वपूर्ण जोखिम दर्शाता है। एक हमलावर goshs सर्वर पर संग्रहीत डेटा की अखंडता से समझौता कर सकता है और .goshs फ़ाइल को स्वयं हटाकर निर्देशिका की सुरक्षा को पूरी तरह से अक्षम कर सकता है।

Organizations using goshs for directory listing and file serving, particularly those relying on the .goshs file for authentication, are at risk. Shared hosting environments where multiple users share a goshs instance are especially vulnerable, as an attacker could potentially compromise the entire hosting environment.

• linux / server:

journalctl -u goshs -g 'file upload' | grep -i unauthorized

• generic web:

curl -I <goshs_endpoint>/?delete
curl -I <goshs_endpoint>/upload

• generic web:

 grep -i 'unauthorized access' <access_logs>

1. 2026-04-10Disclosure

   disclosure

1. आरक्षित2026-04-09
2. प्रकाशित2026-04-10
3. संशोधित2026-04-15
4. EPSS अद्यतन2026-04-18

CVE-2026-40189 के लिए प्राथमिक शमन goshs को संस्करण 2.0.0-beta.4 या उच्चतर में अपडेट करना है। यह संस्करण राज्य बदलने वाले मार्गों में प्रमाणीकरण सत्यापन की कमी को ठीक करता है। अपडेट किए जाने तक, .goshs द्वारा संरक्षित निर्देशिकाओं में अपलोड, निर्माण और विलोपन कार्यों को अस्थायी रूप से अक्षम करने की अनुशंसा की जाती है। इसके अतिरिक्त, फ़ायरवॉल कॉन्फ़िगरेशन और घुसपैठ का पता लगाने वाले सिस्टम सहित सर्वर सुरक्षा नीतियों की समीक्षा और मजबूत करना महत्वपूर्ण है ताकि संदिग्ध गतिविधि की निगरानी और अवरुद्ध की जा सके। जोखिम को कम करने के लिए जितनी जल्दी हो सके अपडेट किया जाना चाहिए।