Platform
go
Component
goshs
Opgelost in
1.0.8
goshs, een SimpleHTTPServer geschreven in Go, had een kwetsbaarheid waarbij de rename-functie in SFTP alleen het bronpad valideerde en niet het bestemmingspad. Dit stelde aanvallers in staat om bestanden buiten de root directory te schrijven. Deze kwetsbaarheid is verholpen in versie 2.0.0-beta.4.
De kwetsbaarheid CVE-2026-40188 in goshs, een SimpleHTTPServer geschreven in Go, stelt een aanvaller in staat bestanden buiten de SFTP root directory te schrijven. Dit komt door onvoldoende sanitatie van het doelpad in de SFTP 'rename' commando. Versies van goshs van 1.0.7 tot en met 2.0.0-beta.4 zijn kwetsbaar voor dit probleem. Een aanvaller kan deze kwetsbaarheid misbruiken om kritieke systeembestanden te wijzigen of de integriteit van gegevens op de server te compromitteren. De ernst van de kwetsbaarheid wordt beoordeeld als 7.7 op de CVSS-schaal, wat een aanzienlijk risico aangeeft. Het ontbreken van een juiste validatie van het doelpad maakt manipulatie van de locatie van bestanden mogelijk, waardoor de deur openstaat voor privilege escalatie en denial-of-service aanvallen.
De kwetsbaarheid wordt uitgebuit via de 'rename' commando in het SFTP-protocol. Een aanvaller met toegang tot de SFTP-server kan een 'rename' commando sturen met een kwaadaardig doelpad dat buiten de root directory wijst. Omdat alleen het bronpad wordt gevalideerd, controleert de server niet of het doelpad zich binnen de toegestane grenzen bevindt. Dit stelt de aanvaller in staat om bestanden op onverwachte locaties te overschrijven. Exploitatie vereist toegang tot de SFTP-server, die kan worden verkregen via gecompromitteerde inloggegevens of door andere kwetsbaarheden in het systeem te exploiteren.
Applications built using the goshs library, particularly those handling user-supplied data or sensitive information, are at risk. This includes Go-based microservices, APIs, and command-line tools that rely on goshs for data processing. Projects using older versions of goshs (1.0.7–>= 1.0.7, < 2.0.0-beta.4) are particularly vulnerable.
• go / binary: Examine goshs library usage within Go applications. Look for instances where data is passed to goshs functions without proper validation.
// Example: Check for suspicious data manipulation
if data.ParamValue != nil && data.ParamValue.Value != nil {
// Validate data.ParamValue.Value before using it with goshs
}• generic web: Monitor application logs for unusual patterns related to data modification or unexpected behavior after data processing. • generic web: Check for unusual file modifications within the application's data directory, especially if goshs is used to manage configuration files.
disclosure
Exploit Status
EPSS
0.03% (8% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor deze kwetsbaarheid is om goshs te upgraden naar versie 2.0.0-beta.4 of hoger. Deze versie corrigeert de sanitatie van het doelpad in de SFTP 'rename' commando, waardoor aanvallers voorkomen dat bestanden buiten de root directory worden geschreven. Als een onmiddellijke upgrade niet mogelijk is, overweeg dan om extra beveiligingsmaatregelen te implementeren, zoals het beperken van de toegang tot de SFTP-server tot geautoriseerde gebruikers en het monitoren van de server op verdachte activiteiten. De upgrade is de meest effectieve maatregel om het risico dat aan deze kwetsbaarheid verbonden is, te beperken. Prioriteer de upgrade in productie- en ontwikkelomgevingen.
Actualice goshs a la versión 2.0.0-beta.4 o superior para mitigar la vulnerabilidad. Esta versión corrige el problema de sanitización incorrecta de la ruta de destino en el comando rename de SFTP, evitando la posibilidad de escribir archivos fuera del directorio raíz.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
goshs is een SimpleHTTPServer geschreven in Go die ook SFTP ondersteunt.
Het is een unieke identificatie voor deze kwetsbaarheid, die wordt gebruikt om deze te volgen en te refereren in beveiligingsdatabases.
Implementeer extra beveiligingsmaatregelen, zoals het beperken van SFTP-toegang en het monitoren van serveractiviteit.
Ja, alle versies van 1.0.7 tot en met 2.0.0-beta.4 zijn kwetsbaar.
Controleer de versie van goshs die u gebruikt. Als deze ouder is dan 2.0.0-beta.4, bent u getroffen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.