Plataforma
go
Componente
github.com/patrickhener/goshs
Corrigido em
2.0.1
1.1.5-0.20260401172448-237f3af891a9
A vulnerabilidade CVE-2026-35392 é uma falha crítica de Path Traversal no componente github.com/patrickhener/goshs. A falta de sanitização no caminho durante o upload de arquivos via PUT permite que um atacante acesse arquivos fora do diretório esperado. A vulnerabilidade foi corrigida na versão 1.1.5-0.20260401172448-237f3af891a9.
A vulnerabilidade CVE-2026-35392 no goshs permite que um atacante remoto escreva arquivos arbitrários no servidor. Isso se deve à falta de validação de caminho na função de upload PUT. O servidor usa diretamente req.URL.Path para construir o caminho de salvamento, sem realizar nenhuma sanitização de caminho, verificação de .. ou contenção dentro de um diretório raiz web. Um atacante pode explorar esta vulnerabilidade enviando uma solicitação PUT com um caminho malicioso contendo sequências como ../, permitindo que ele sobrescreva arquivos fora do diretório pretendido. Como nenhuma autenticação ou configuração especial é necessária, a vulnerabilidade afeta a configuração padrão do servidor, representando um risco significativo para sistemas expostos à rede.
Um atacante pode explorar esta vulnerabilidade enviando uma solicitação PUT para um servidor goshs vulnerável. A solicitação deve incluir um caminho malicioso na URL contendo sequências como ../ para navegar fora do diretório raiz web. Por exemplo, PUT /../../etc/passwd. O servidor, ao não validar o caminho, salvará o arquivo carregado no local especificado, potencialmente sobrescrevendo arquivos críticos do sistema. A facilidade de exploração, combinada com a falta de autenticação, torna esta vulnerabilidade uma preocupação de alta prioridade para correção.
Organizations deploying goshs in production environments, particularly those without robust access controls or WAF protection, are at significant risk. Systems exposed directly to the internet or those with limited network segmentation are especially vulnerable. Shared hosting environments utilizing goshs are also at increased risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -f | grep -i 'upload' && grep -i 'path traversal'• generic web:
curl -X PUT --data-binary @evil.txt 'http://<target>/../../../../etc/passwd'disclosure
Status do Exploit
EPSS
0.11% (percentil 29%)
CISA SSVC
Vetor CVSS
A mitigação recomendada é atualizar o goshs para a versão 1.1.5-0.20260401172448-237f3af891a9 ou posterior. Esta versão corrige a vulnerabilidade implementando uma validação adequada do caminho. Como uma solução alternativa temporária, um Firewall de Aplicações Web (WAF) pode ser implementado para bloquear solicitações PUT com caminhos suspeitos. Além disso, restringir o acesso ao servidor goshs apenas a fontes confiáveis pode reduzir o risco de exploração. É crucial revisar e fortalecer as políticas de segurança do servidor para prevenir incidentes futuros.
Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión incluye la sanitización adecuada de las rutas para prevenir el acceso no autorizado a archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que um atacante pode escrever arquivos em qualquer local do sistema que o usuário que executa o servidor goshs tenha permissão para escrever.
Execute uma solicitação PUT para um servidor goshs com um caminho malicioso, como /../etc/passwd. Se o arquivo for salvo no local especificado, seu servidor é vulnerável.
Um WAF (Firewall de Aplicações Web) é uma ferramenta de segurança que filtra o tráfego HTTP/HTTPS, bloqueando solicitações maliciosas. Ele pode ajudar a mitigar esta vulnerabilidade bloqueando solicitações PUT com caminhos suspeitos.
Implemente um WAF como uma solução alternativa temporária e restrinja o acesso ao servidor goshs apenas a fontes confiáveis.
Consulte a descrição da vulnerabilidade na base de dados de vulnerabilidades CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-35392
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.