プラットフォーム
go
コンポーネント
github.com/patrickhener/goshs
修正版
2.0.1
1.1.5
goshsはGoで書かれたSimpleHTTPServerです。バージョン2.0.0-beta.4より前では、goshsはディレクトリリストとファイル読み込みに対して、ドキュメント化されたper-folderの.goshs ACL/basic-authメカニズムを強制しますが、ステート変更ルートに対しては同じ認証チェックを行いません。認証されていない攻撃者は、.goshs保護ディレクトリ内でファイルアップロード、ディレクトリ作成、ファイル削除を実行できます。
goshs の CVE-2026-40189 は、認証されていない攻撃者が .goshs ファイルで保護されたディレクトリ内で状態を変更するアクションを実行することを可能にします。goshs はディレクトリのリストとファイルの読み取りには基本的な認証と ACL (アクセス制御リスト) を正しく実装していますが、サーバーの状態を変更するルート (PUT、multipart POST /upload によるファイルのアップロード、?mkdir によるディレクトリの作成、?delete によるファイルの削除など) には同じ制限を適用しません。この脆弱性の重大度は CVSS スケールで 9.8 と評価されており、深刻なリスクを示しています。攻撃者は goshs サーバーに保存されているデータの整合性を損なう可能性があり、.goshs ファイル自体を削除することで、ディレクトリの保護を完全に無効にすることができます。
攻撃者は、goshs が実行されているネットワークにアクセスできる場合に、この脆弱性を悪用する可能性があります。認証は不要で、状態を変更するルートにおける認証検証がありません。攻撃者は、curl または wget などの標準ツールを使用して、ファイルをアップロード、作成、または削除するために必要なパラメータを持つ PUT、POST、および DELETE リクエストを送信できます。.goshs ファイルの削除は特に危険なアクションであり、ディレクトリの保護を無効にし、攻撃者が制限なしに任意の操作を実行できるようにします。悪用の容易さと潜在的な影響により、この脆弱性は大きな脅威となります。
Organizations using goshs for directory listing and file serving, particularly those relying on the .goshs file for authentication, are at risk. Shared hosting environments where multiple users share a goshs instance are especially vulnerable, as an attacker could potentially compromise the entire hosting environment.
• linux / server:
journalctl -u goshs -g 'file upload' | grep -i unauthorized• generic web:
curl -I <goshs_endpoint>/?delete
curl -I <goshs_endpoint>/upload• generic web:
grep -i 'unauthorized access' <access_logs>disclosure
エクスプロイト状況
EPSS
0.14% (34% パーセンタイル)
CISA SSVC
CVE-2026-40189 の主な軽減策は、goshs をバージョン 2.0.0-beta.4 以降に更新することです。このバージョンは、状態を変更するルートにおける認証検証の欠如を修正します。更新が実行されるまで、.goshs で保護されたディレクトリ内のアップロード、作成、削除機能を一時的に無効にすることをお勧めします。また、ファイアウォール構成や侵入検知システムを含むサーバーのセキュリティポリシーを見直し、強化して、疑わしいアクティビティを監視およびブロックすることが重要です。リスクを最小限に抑えるために、できるだけ早く更新を実行する必要があります。
Actualice goshs a la versión 2.0.0-beta.4 o superior para mitigar la vulnerabilidad de bypass de autorización. Esta actualización implementa las comprobaciones de autorización necesarias para las rutas que modifican el estado, previniendo la subida no autorizada de archivos, la creación de directorios y la eliminación de archivos.
脆弱性分析と重要アラートをメールでお届けします。
goshs は、Web インターフェースを通じてファイルを共有できるシンプルで安全なファイルサーバーです。
このバージョンは、CVE-2026-40189 の脆弱性を修正し、認証されていない攻撃者がファイルとディレクトリを変更することを可能にします。
.goshs で保護されたディレクトリ内のアップロード、作成、削除機能を一時的に無効にします。
2.0.0-beta.4 より前のバージョンを使用している場合は、脆弱である可能性があります。
ファイアウォールや侵入検知システムを含むサーバーのセキュリティポリシーを見直し、強化してください。
CVSS ベクトル
go.mod ファイルをアップロードすると、影響の有無を即座にお知らせします。