Platform
go
Component
goshs
Opgelost in
2.0.1
2.0.0-beta.6
CVE-2026-40883 beschrijft een cross-site request forgery (CSRF) kwetsbaarheid in goshs, een Go-gebaseerde server. Deze kwetsbaarheid stelt een externe aanvaller in staat om destructieve acties uit te voeren via een reeds geauthenticeerde browser, zoals het verwijderen van bestanden of het maken van mappen. De kwetsbaarheid treedt op in versies 2.0.0-beta.4 tot en met <2.0.0-beta.6. Een upgrade naar versie 2.0.0-beta.6 is vereist om dit probleem te verhelpen.
Een succesvolle CSRF-aanval kan leiden tot ongeautoriseerde wijzigingen in de goshs-server. Een aanvaller kan bijvoorbeeld bestanden verwijderen, nieuwe mappen aanmaken of andere configuratiewijzigingen doorvoeren, allemaal zonder de kennis of toestemming van de gebruiker. Dit kan leiden tot dataverlies, verstoring van de dienst of zelfs volledige controle over de server. Omdat goshs vaak wordt gebruikt in omgevingen waar gevoelige data wordt opgeslagen of verwerkt, kan de impact van deze kwetsbaarheid aanzienlijk zijn. De afwezigheid van CSRF-bescherming, Origin- of Referer-validatie in de state-changing HTTP GET routes maakt deze aanval relatief eenvoudig uit te voeren.
Deze kwetsbaarheid is openbaar bekend gemaakt op 2026-04-21. Er zijn momenteel geen bekende actieve campagnes gericht op het exploiteren van CVE-2026-40883, maar de publicatie van de kwetsbaarheid maakt het waarschijnlijk dat er in de toekomst proof-of-concept exploits beschikbaar komen. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus op het moment van schrijven. Er zijn geen publieke proof-of-concept exploits bekend.
Organizations and individuals using goshs version 2.0.0-beta.4 through 2.0.0-beta.5, particularly those deploying goshs in automated environments or as part of configuration management systems, are at significant risk. Shared hosting environments where multiple users share a goshs instance are also particularly vulnerable.
• linux / server:
ps aux | grep goshs• generic web:
curl -I https://your-goshs-server.com/?mkdir
curl -I https://your-goshs-server.com/?deleteCheck access logs for unusual GET requests to / with parameters like ?mkdir or ?delete originating from unexpected IP addresses.
disclosure
Exploit Status
EPSS
0.02% (4% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-40883 is het upgraden naar versie 2.0.0-beta.6 of hoger, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het implementeren van een Web Application Firewall (WAF) met CSRF-bescherming. Configureer de WAF om requests met verdachte Origin- of Referer-headers te blokkeren. Daarnaast kan het beperken van de toegang tot de state-changing GET routes via een firewall of andere netwerkbeveiligingsmaatregelen de aanvalsoppervlakte verkleinen. Na de upgrade, controleer de serverlogboeken op verdachte activiteiten en bevestig dat de kwetsbaarheid daadwerkelijk is verholpen door het uitvoeren van gecontroleerde tests.
Werk goshs bij naar versie 2.0.0-beta.6 of hoger om de CSRF-kwetsbaarheid te mitigeren. Deze versie implementeert adequate validaties om destructieve acties via state-changing GET routes te voorkomen.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-40883 is a cross-site request forgery (CSRF) vulnerability affecting goshs versions 2.0.0-beta.4 through 2.0.0-beta.5, allowing attackers to trigger destructive actions.
You are affected if you are running goshs version 2.0.0-beta.4 or 2.0.0-beta.5. Check your version and upgrade immediately.
Upgrade to goshs version 2.0.0-beta.6 or later to resolve the CSRF vulnerability. Consider WAF rules as a temporary mitigation.
There is currently no confirmed active exploitation, but the vulnerability's simplicity suggests potential for future attacks.
Refer to the goshs project's official communication channels and release notes for the advisory related to CVE-2026-40883.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.