Platform
go
Component
github.com/patrickhener/goshs
Opgelost in
2.0.1
1.1.5-0.20260401172448-237f3af891a9
CVE-2026-35392 is een kritieke Path Traversal kwetsbaarheid in github.com/patrickhener/goshs. De PUT upload functionaliteit heeft geen path sanitization, waardoor een aanvaller bestanden buiten de bedoelde directory kan schrijven. Dit treft de standaard configuratie zonder authenticatie. De kwetsbaarheid is verholpen in versie 1.1.5-0.20260401172448-237f3af891a9.
CVE-2026-35392 in goshs stelt een externe aanvaller in staat om willekeurige bestanden op de server te schrijven. Dit komt door een gebrek aan padvalidatie in de PUT-uploadfunctie. De server gebruikt direct req.URL.Path om het opslagpad te construeren, zonder enige padsanering, ..-controles of webroot-containment uit te voeren. Een aanvaller kan deze kwetsbaarheid misbruiken door een PUT-verzoek te verzenden met een kwaadaardig pad dat sequenties bevat zoals ../, waardoor ze bestanden buiten de beoogde map kunnen overschrijven. Aangezien geen authenticatie of speciale configuratie vereist is, heeft de kwetsbaarheid invloed op de standaardconfiguratie van de server, wat een aanzienlijk risico vormt voor blootgestelde systemen.
Een aanvaller kan deze kwetsbaarheid misbruiken door een PUT-verzoek naar een kwetsbare goshs-server te sturen. Het verzoek moet een kwaadaardig pad in de URL bevatten met sequenties zoals ../ om buiten de webroot-directory te navigeren. Bijvoorbeeld, PUT /../../etc/passwd. De server, die het pad niet valideert, zal het geüploade bestand opslaan op de gespecificeerde locatie, mogelijk kritieke systeembestanden overschrijven. De eenvoud van uitbuiting, in combinatie met het ontbreken van authenticatie, maakt deze kwetsbaarheid een probleem van hoge prioriteit voor herstel.
Organizations deploying goshs in production environments, particularly those without robust access controls or WAF protection, are at significant risk. Systems exposed directly to the internet or those with limited network segmentation are especially vulnerable. Shared hosting environments utilizing goshs are also at increased risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -f | grep -i 'upload' && grep -i 'path traversal'• generic web:
curl -X PUT --data-binary @evil.txt 'http://<target>/../../../../etc/passwd'disclosure
Exploit Status
EPSS
0.11% (29% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie is om goshs bij te werken naar versie 1.1.5-0.20260401172448-237f3af891a9 of hoger. Deze versie corrigeert de kwetsbaarheid door een juiste padvalidatie te implementeren. Als tijdelijke workaround kan een Web Application Firewall (WAF) worden geïmplementeerd om PUT-verzoeken met verdachte paden te blokkeren. Bovendien kan het beperken van de toegang tot de goshs-server tot vertrouwde bronnen het risico op uitbuiting verminderen. Het is cruciaal om de beveiligingsbeleidsregels van de server te beoordelen en te versterken om toekomstige incidenten te voorkomen.
Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión incluye la sanitización adecuada de las rutas para prevenir el acceso no autorizado a archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Dit betekent dat een aanvaller bestanden naar elke locatie op het systeem kan schrijven waarvoor de gebruiker die de goshs-server uitvoert schrijfrechten heeft.
Voer een PUT-verzoek uit naar een goshs-server met een kwaadaardig pad, zoals /../etc/passwd. Als het bestand wordt opgeslagen op de gespecificeerde locatie, is uw server kwetsbaar.
Een WAF (Web Application Firewall) is een beveiligingstool die HTTP/HTTPS-verkeer filtert en kwaadaardige verzoeken blokkeert. Het kan helpen om deze kwetsbaarheid te verzachten door PUT-verzoeken met verdachte paden te blokkeren.
Implementeer een WAF als tijdelijke workaround en beperk de toegang tot de goshs-server tot vertrouwde bronnen.
Raadpleeg de beschrijving van de kwetsbaarheid in de CVE-database: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-35392
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.