प्लेटफ़ॉर्म
go
घटक
goshs
में ठीक किया गया
2.0.1
2.0.0-beta.6
CVE-2026-40883 goshs में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है। यह भेद्यता हमलावरों को प्रमाणित उपयोगकर्ताओं की ओर से अनधिकृत क्रियाएं करने की अनुमति देती है, जैसे फ़ाइलें बनाना या हटाना। यह भेद्यता goshs के संस्करण 2.0.0-beta.4 से 2.0.0-beta.6 से पहले के संस्करणों को प्रभावित करती है। संस्करण 2.0.0-beta.6 में इस समस्या का समाधान किया गया है।
यह CSRF भेद्यता हमलावरों को प्रमाणित उपयोगकर्ताओं के ब्राउज़र का उपयोग करके विनाशकारी क्रियाएं करने की अनुमति देती है। उदाहरण के लिए, एक हमलावर एक दुर्भावनापूर्ण लिंक भेज सकता है जो उपयोगकर्ता को एक फ़ाइल बनाने या हटाने के लिए प्रेरित करता है, भले ही उपयोगकर्ता ऐसा करने का इरादा न रखता हो। goshs के संदर्भ में, इसका मतलब है कि हमलावर अनधिकृत रूप से फ़ाइलें बना या हटा सकता है, जिससे डेटा हानि या सिस्टम समझौता हो सकता है। चूंकि goshs का उपयोग अक्सर संवेदनशील डेटा को संग्रहीत करने के लिए किया जाता है, इसलिए इस भेद्यता का शोषण करने से गंभीर परिणाम हो सकते हैं। यह भेद्यता विशेष रूप से खतरनाक है क्योंकि यह HTTP बेसिक ऑथेंटिकेशन पर निर्भर करती है और CSRF, Origin या Referer सत्यापन का अभाव है।
CVE-2026-40883 को अभी तक सक्रिय रूप से शोषण करने के प्रमाण नहीं मिले हैं। यह भेद्यता सार्वजनिक रूप से ज्ञात है और इसका विवरण CISA KEV सूची में शामिल नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रूफ-ऑफ-कॉन्सेप्ट (PoC) मौजूद हो सकते हैं, लेकिन उनका व्यापक उपयोग अभी तक नहीं देखा गया है। NVD और CISA ने इस CVE के लिए कोई अतिरिक्त जानकारी जारी नहीं की है।
Organizations and individuals using goshs version 2.0.0-beta.4 through 2.0.0-beta.5, particularly those deploying goshs in automated environments or as part of configuration management systems, are at significant risk. Shared hosting environments where multiple users share a goshs instance are also particularly vulnerable.
• linux / server:
ps aux | grep goshs• generic web:
curl -I https://your-goshs-server.com/?mkdir
curl -I https://your-goshs-server.com/?deleteCheck access logs for unusual GET requests to / with parameters like ?mkdir or ?delete originating from unexpected IP addresses.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.02% (4% शतमक)
CISA SSVC
CVE-2026-40883 को कम करने के लिए, goshs को संस्करण 2.0.0-beta.6 में अपग्रेड करना आवश्यक है। यदि अपग्रेड संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) का उपयोग CSRF टोकन को लागू करने के लिए किया जा सकता है। इसके अतिरिक्त, सुनिश्चित करें कि सभी संवेदनशील क्रियाओं के लिए उचित प्रमाणीकरण और प्राधिकरण जांच लागू की गई हैं। यदि संभव हो, तो HTTP बेसिक ऑथेंटिकेशन के बजाय अधिक सुरक्षित प्रमाणीकरण विधियों का उपयोग करें। अपग्रेड के बाद, यह सुनिश्चित करने के लिए कि भेद्यता ठीक हो गई है, सभी संवेदनशील क्रियाओं का परीक्षण करें।
विनाशकारी कार्यों को रोकने के लिए GET राज्य-बदलने वाले रूट के माध्यम से CSRF भेद्यता को कम करने के लिए goshs को संस्करण 2.0.0-beta.6 या उच्चतर में अपडेट करें। यह संस्करण उपयुक्त सत्यापन लागू करता है।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-40883 goshs में एक क्रॉस-साइट रिक्वेस्ट फोर्जरी (CSRF) भेद्यता है जो हमलावरों को प्रमाणित उपयोगकर्ताओं की ओर से अनधिकृत क्रियाएं करने की अनुमति देती है।
यदि आप goshs के संस्करण 2.0.0-beta.4 से 2.0.0-beta.6 से पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-40883 को ठीक करने के लिए, goshs को संस्करण 2.0.0-beta.6 में अपग्रेड करें।
CVE-2026-40883 को अभी तक सक्रिय रूप से शोषण करने के प्रमाण नहीं मिले हैं, लेकिन यह सार्वजनिक रूप से ज्ञात है।
CVE-2026-40883 के लिए आधिकारिक goshs सलाहकार के लिए, कृपया goshs परियोजना की वेबसाइट या संबंधित सुरक्षा घोषणाओं की जांच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।