MEDIUMCVE-2026-40883

goshs は、ステート変更 GET ルートに CSRF を持ち、認証済みユーザーによるファイル削除とディレクトリ作成を可能にする

Q: CVE-2026-40883 — CSRF in goshsとは何ですか？

CVE-2026-40883は、goshsのバージョン2.0.0-beta.4から2.0.0-beta.6未満に存在するクロスサイトリクエストフォージェリ（CSRF）脆弱性です。攻撃者は、認証済みのユーザーのブラウザを悪用して、意図しない操作を実行させることができます。

Q: CVE-2026-40883 in goshsの影響を受けていますか？

goshsのバージョン2.0.0-beta.4から2.0.0-beta.6未満を使用している場合は、この脆弱性の影響を受けています。バージョンを確認し、必要に応じてアップデートしてください。

Q: CVE-2026-40883 in goshsを修正するにはどうすればよいですか？

goshsをバージョン2.0.0-beta.6にアップデートすることで、この脆弱性を修正できます。アップデートがすぐに利用できない場合は、CSRFトークンやOriginヘッダーの検証を実装することを検討してください。

Q: CVE-2026-40883は積極的に悪用されていますか？

現時点では、CVE-2026-40883が悪用されているという公式な報告はありませんが、CSRF脆弱性は比較的簡単に悪用できるため、注意が必要です。

Q: CVE-2026-40883に関するgoshsの公式アドバイザリはどこで入手できますか？

goshsの公式アドバイザリは、goshsのプロジェクトウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

コンポーネント

goshs

修正版

2.0.1

2.0.0-beta.6

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-40883は、goshsのHTTP GETルートにおけるクロスサイトリクエストフォージェリ（CSRF）脆弱性です。認証済みのユーザーのブラウザが、攻撃者によって意図しない操作を実行される可能性があります。この脆弱性は、goshsのバージョン2.0.0-beta.4から2.0.0-beta.6未満に影響を与えます。2.0.0-beta.6へのアップデートで修正されています。

影響と攻撃シナリオ

このCSRF脆弱性を悪用されると、攻撃者は認証済みのユーザーのセッションを利用して、goshsサーバー上で破壊的な操作を実行できます。具体的には、?deleteパラメータを使用してファイルを削除したり、?mkdirパラメータを使用してディレクトリを作成したりすることが可能です。攻撃者は、悪意のあるウェブサイトやメールにリンクを埋め込むことで、ユーザーが意図せず脆弱なエンドポイントにアクセスするように誘導できます。この脆弱性は、特に共有ホスティング環境や、goshsを公開サーバー上で実行している場合に、深刻な影響を及ぼす可能性があります。攻撃者は、認証情報を盗むことなく、サーバー上のデータを改ざんしたり、削除したりする可能性があります。

悪用の状況

この脆弱性は、2026年4月21日に公開されました。現時点では、公開されているPoC（Proof of Concept）は確認されていませんが、CSRF脆弱性は比較的簡単に悪用できるため、注意が必要です。CISA KEVリストへの登録状況は不明です。攻撃者による悪用が確認された場合、迅速な対応が必要です。

リスク対象者翻訳中…

Organizations and individuals using goshs version 2.0.0-beta.4 through 2.0.0-beta.5, particularly those deploying goshs in automated environments or as part of configuration management systems, are at significant risk. Shared hosting environments where multiple users share a goshs instance are also particularly vulnerable.

検出手順翻訳中…

• linux / server:

ps aux | grep goshs

• generic web:

curl -I https://your-goshs-server.com/?mkdir
curl -I https://your-goshs-server.com/?delete

Check access logs for unusual GET requests to / with parameters like ?mkdir or ?delete originating from unexpected IP addresses.

攻撃タイムライン

2026-04-21Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.02% (4% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントgoshs

ベンダーpatrickhener

影響範囲修正版

>= 2.0.0-beta.4, < 2.0.0-beta.6 – >= 2.0.0-beta.4, < 2.0.0-beta.62.0.1

2.0.0-beta.42.0.0-beta.6

弱点分類 (CWE)

CWE-352

タイムライン

予約済み2026-04-15
公開日2026-04-21
EPSS 更新日2026-04-29

緩和策と回避策

この脆弱性への主な対策は、goshsをバージョン2.0.0-beta.6にアップデートすることです。アップデートがすぐに利用できない場合は、HTTP Basic認証に加えて、CSRFトークンやOriginヘッダーの検証を実装することで、脆弱性を軽減できます。WAF（Web Application Firewall）を導入し、悪意のあるリクエストをブロックすることも有効です。また、アクセスログを監視し、不審なリクエストを検出することも重要です。アップデート後、goshs --versionコマンドを実行して、バージョンが正しく更新されていることを確認してください。

修正方法

CSRF の脆弱性を軽減するために、goshs をバージョン 2.0.0-beta.6 以降にアップデートしてください。このバージョンでは、破壊的なアクションを GET ステート変更ルート経由で防止するための適切な検証が実装されています。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-40883 — CSRF in goshsとは何ですか？