Platform
go
Component
goshs
Opgelost in
2.0.1
CVE-2026-35393 is een kritieke Path Traversal kwetsbaarheid in github.com/patrickhener/goshs. De POST multipart upload directory wordt niet gesanitized, waardoor een aanvaller bestanden buiten de bedoelde directory kan schrijven. Dit treft de standaard configuratie zonder authenticatie. De kwetsbaarheid is verholpen in versie 1.1.5-0.20260401172448-237f3af891a9.
De kwetsbaarheid CVE-2026-35393 in goshs, een eenvoudige HTTPServer geschreven in Go, stelt een aanvaller in staat om willekeurige bestanden naar de server te schrijven. Dit komt door een gebrek aan validatie in de multipart POST upload directory. Een aanvaller kan deze kwetsbaarheid misbruiken om kwaadaardige bestanden te uploaden, zoals scripts of uitvoerbare bestanden, die vervolgens door de server kunnen worden uitgevoerd of kunnen dienen als een toegangspunt voor verdere aanvallen. De potentiële impact omvat de overname van de server, diefstal van gevoelige gegevens of een denial-of-service. De ernst van de kwetsbaarheid wordt beoordeeld als 9,8 op de CVSS-schaal, wat een kritiek risico aangeeft.
Deze kwetsbaarheid is vooral zorgwekkend omdat goshs vaak wordt gebruikt in ontwikkel- en testomgevingen, waar beveiliging misschien niet de hoogste prioriteit heeft. Een aanvaller kan deze kwetsbaarheid misbruiken om toegang te krijgen tot gevoelige informatie of het systeem te compromitteren. De eenvoudige uitbuitbaarheid, gecombineerd met de verspreiding van goshs in onveilige omgevingen, maakt het tot een aanzienlijk risico. Het ontbreken van validatie van de upload directory stelt een aanvaller in staat om het pad van het geüploade bestand te manipuleren, bestaande bestanden te overschrijven of nieuwe bestanden op onverwachte locaties te maken.
Small to medium-sized businesses and individuals using goshs as a simple HTTP server, particularly those hosting sensitive data or running applications that rely on file uploads. Shared hosting environments that utilize goshs are also at increased risk.
• go / server: Inspect goshs server logs for POST requests with unusual filenames containing path traversal sequences (e.g., ..).
• generic web: Use curl or wget to attempt uploading files with malicious filenames containing path traversal sequences and monitor server responses and file system changes.
disclosure
Exploit Status
EPSS
0.11% (29% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om goshs te upgraden naar versie 2.0.0-beta.3 of hoger. Deze versie bevat een correctie die de multipart POST upload directory correct valideert, waardoor het schrijven van willekeurige bestanden wordt voorkomen. Als een onmiddellijke upgrade niet mogelijk is, overweeg dan om aanvullende beveiligingsmaatregelen te implementeren, zoals het beperken van de toegang tot de server via firewalls en het bewaken van serverlogs op verdachte activiteiten. Het tijdig toepassen van de upgrade is cruciaal om het risico op misbruik te verminderen.
Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta versión corrige la falta de saneamiento en el directorio de carga de archivos multipart POST, previniendo el acceso no autorizado a archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
goshs is een eenvoudige HTTPServer geschreven in Go, handig voor het snel serveren van statische bestanden.
Als u een versie van goshs gebruikt vóór 2.0.0-beta.3, bent u kwetsbaar voor deze kwetsbaarheid.
Implementeer aanvullende beveiligingsmaatregelen, zoals firewalls en logboekmonitoring.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren, maar logboekmonitoring kan helpen bij het identificeren van verdachte activiteiten.
Scripts (PHP, Python, etc.), uitvoerbare bestanden en elk ander bestand dat door de server kan worden uitgevoerd of kan worden gebruikt om het systeem te compromitteren.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.