goshs: goshs PUTアップロードにおける、制限されたディレクトリへのパス名の不適切な制限 ('Path Traversal')

goshs の CVE-2026-35392 は、リモート攻撃者がサーバーに任意のファイルを書き込めることを可能にします。これは、PUT アップロード関数におけるパス検証の欠如が原因です。サーバーは req.URL.Path を直接使用して保存パスを構築し、パスのサニタイズ、.. チェック、または Webroot の包含を行いません。攻撃者は、../ のようなシーケンスを含む悪意のあるパスを持つ PUT リクエストを送信することで、この脆弱性を悪用し、意図されたディレクトリ外のファイルを上書きできます。認証や特別な構成が不要であるため、この脆弱性はサーバーのデフォルト構成に影響を与え、露出したシステムにとって重大なリスクとなります。

Organizations deploying goshs in production environments, particularly those without robust access controls or WAF protection, are at significant risk. Systems exposed directly to the internet or those with limited network segmentation are especially vulnerable. Shared hosting environments utilizing goshs are also at increased risk due to the potential for cross-tenant exploitation.

• linux / server:

journalctl -f | grep -i 'upload' && grep -i 'path traversal'

• generic web:

curl -X PUT --data-binary @evil.txt 'http://<target>/../../../../etc/passwd'

1. 2026-04-03Disclosure

   disclosure

1. 予約済み2026-04-02
2. 公開日2026-04-03
3. 更新日2026-04-07
4. EPSS 更新日2026-04-14

推奨される軽減策は、goshs をバージョン 1.1.5-0.20260401172448-237f3af891a9 以降にアップグレードすることです。このバージョンは、適切なパス検証を実装することで脆弱性を修正します。一時的な回避策として、疑わしいパスを持つ PUT リクエストをブロックする Web Application Firewall (WAF) を実装できます。さらに、goshs サーバーへのアクセスを信頼できるソースに制限することで、悪用のリスクを軽減できます。将来のインシデントを防ぐために、サーバーのセキュリティポリシーをレビューおよび強化することが重要です。