CRITICALCVE-2026-35393CVSS 9.8

goshs: goshs POST multipart アップロードにおける、制限されたディレクトリへのパス名の不適切な制限 ('Path Traversal')

Q: CVE-2026-35393 とは何ですか？（goshs の Path Traversal）

goshsは、静的ファイルを迅速に提供するのに便利な、Goで書かれたシンプルなHTTPServerです。

Q: goshs の CVE-2026-35393 による影響を受けていますか？

goshsのバージョンが2.0.0-beta.3より前の場合は、この脆弱性に影響を受けています。

Q: goshs の CVE-2026-35393 を修正するにはどうすればよいですか？

ファイアウォールやログ監視など、追加のセキュリティ対策を実装してください。

Q: CVE-2026-35393 は積極的に悪用されていますか？

現在、この脆弱性を検出するための特定のツールはありませんが、ログ監視は不審な活動を特定するのに役立ちます。

Q: CVE-2026-35393 に関する goshs の公式アドバイザリはどこで確認できますか？

スクリプト（PHP、Pythonなど）、実行可能ファイル、サーバー上で実行できる、またはシステムを侵害するために使用できるその他のファイル。

プラットフォーム

コンポーネント

goshs

修正版

2.0.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-35393は、github.com/patrickhener/goshsに存在するパストラバーサルの脆弱性です。この脆弱性により、攻撃者はファイルアップロード機能を利用して、任意の場所にファイルを書き込む可能性があります。影響を受けるバージョンは不明で、バージョン1.1.5-0.20260401172448-237f3af891a9で修正されました。

影響と攻撃シナリオ

goshs (Goで書かれたシンプルなHTTPServer) のCVE-2026-35393脆弱性は、攻撃者がサーバーに任意のファイルを書き込めることを可能にします。これは、multipart POSTアップロードディレクトリにおける検証の欠如が原因です。攻撃者はこの脆弱性を悪用して、悪意のあるファイル（スクリプトや実行可能ファイルなど）をアップロードし、サーバー上で実行したり、さらなる攻撃の足がかりにしたりする可能性があります。潜在的な影響には、サーバーの乗っ取り、機密データの窃盗、サービス拒否などが含まれます。この脆弱性の深刻度はCVSSスケールで9.8と評価されており、重大なリスクを示しています。

悪用の状況

この脆弱性は、goshsが開発およびテスト環境で頻繁に使用されるため、特に懸念されます。セキュリティが最優先事項ではない場合があるため、攻撃者はこの脆弱性を悪用して機密情報にアクセスしたり、システムを侵害したりする可能性があります。脆弱性の簡単な悪用と、安全でない環境でのgoshsの普及により、重大なリスクとなっています。アップロードディレクトリの検証不足により、攻撃者はアップロードされたファイルのパスを操作し、既存のファイルを上書きしたり、予期しない場所に新しいファイルを作成したりすることができます。

リスク対象者翻訳中…

Small to medium-sized businesses and individuals using goshs as a simple HTTP server, particularly those hosting sensitive data or running applications that rely on file uploads. Shared hosting environments that utilize goshs are also at increased risk.

検出手順翻訳中…

• go / server: Inspect goshs server logs for POST requests with unusual filenames containing path traversal sequences (e.g., ..). • generic web: Use curl or wget to attempt uploading files with malicious filenames containing path traversal sequences and monitor server responses and file system changes.

攻撃タイムライン

2026-04-06Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.11% (29% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響total

影響を受けるソフトウェア

コンポーネントgoshs

ベンダーpatrickhener

影響範囲修正版

< 2.0.0-beta.3 – < 2.0.0-beta.32.0.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-04-02
公開日2026-04-06
更新日2026-04-08
EPSS 更新日2026-04-14

緩和策と回避策

この脆弱性への対策は、goshsをバージョン2.0.0-beta.3以降にアップグレードすることです。このバージョンには、multipart POSTアップロードディレクトリを適切に検証する修正が含まれており、任意のファイルの書き込みを防ぎます。直ちにアップグレードできない場合は、ファイアウォールによるサーバーへのアクセス制限や、サーバーログの不審な活動の監視など、追加のセキュリティ対策を講じることを検討してください。脆弱性の悪用リスクを軽減するために、できるだけ早くアップデートを適用することが重要です。

修正方法翻訳中…

Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta versión corrige la falta de saneamiento en el directorio de carga de archivos multipart POST, previniendo el acceso no autorizado a archivos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35393 とは何ですか？（goshs の Path Traversal）