Plataforma
go
Componente
goshs
Corrigido em
2.0.1
A vulnerabilidade CVE-2026-35393 é uma falha crítica de Path Traversal no componente github.com/patrickhener/goshs. A falta de sanitização no diretório de destino durante o upload de arquivos multipart/form-data permite que um atacante salve arquivos em locais arbitrários no sistema. A vulnerabilidade foi corrigida na versão 1.1.5-0.20260401172448-237f3af891a9.
A vulnerabilidade CVE-2026-35393 em goshs, um servidor HTTP simples escrito em Go, permite que um atacante escreva arquivos arbitrários no servidor. Isso ocorre devido à falta de sanitização no diretório de upload de arquivos multipart POST. Um atacante pode explorar esta vulnerabilidade para fazer upload de arquivos maliciosos, como scripts ou executáveis, que podem ser executados pelo servidor ou servir como ponto de entrada para ataques posteriores. O impacto potencial inclui a tomada de controle do servidor, roubo de dados confidenciais ou negação de serviço. A gravidade da vulnerabilidade é classificada como 9.8 na escala CVSS, indicando um risco crítico.
Esta vulnerabilidade é particularmente preocupante porque o goshs é frequentemente usado em ambientes de desenvolvimento e teste, onde a segurança pode não ser uma prioridade máxima. Um atacante pode explorar esta vulnerabilidade para obter acesso a informações confidenciais ou para comprometer o sistema. A facilidade de exploração, combinada com a prevalência do goshs em ambientes inseguros, o torna um risco significativo. A falta de sanitização do diretório de upload permite que um atacante manipule o caminho do arquivo carregado, sobrescrevendo arquivos existentes ou criando novos arquivos em locais inesperados.
Small to medium-sized businesses and individuals using goshs as a simple HTTP server, particularly those hosting sensitive data or running applications that rely on file uploads. Shared hosting environments that utilize goshs are also at increased risk.
• go / server: Inspect goshs server logs for POST requests with unusual filenames containing path traversal sequences (e.g., ..).
• generic web: Use curl or wget to attempt uploading files with malicious filenames containing path traversal sequences and monitor server responses and file system changes.
disclosure
Status do Exploit
EPSS
0.11% (percentil 29%)
CISA SSVC
Vetor CVSS
A solução para esta vulnerabilidade é atualizar o goshs para a versão 2.0.0-beta.3 ou superior. Esta versão inclui uma correção que sanitiza adequadamente o diretório de upload de arquivos multipart POST, impedindo a escrita de arquivos arbitrários. Se não for possível atualizar imediatamente, recomenda-se implementar medidas de segurança adicionais, como restringir o acesso ao servidor por meio de firewalls e monitorar os logs do servidor em busca de atividades suspeitas. É crucial aplicar a atualização o mais rápido possível para mitigar o risco de exploração.
Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de ruta. Esta versión corrige la falta de saneamiento en el directorio de carga de archivos multipart POST, previniendo el acceso no autorizado a archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
goshs é um servidor HTTP simples escrito em Go, útil para servir arquivos estáticos rapidamente.
Se você estiver usando uma versão anterior a 2.0.0-beta.3 do goshs, você é vulnerável a esta vulnerabilidade.
Implemente medidas de segurança adicionais, como firewalls e monitoramento de logs.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade, mas o monitoramento de logs pode ajudar a identificar atividades suspeitas.
Scripts (PHP, Python, etc.), executáveis e qualquer outro arquivo que possa ser executado pelo servidor ou usado para comprometer o sistema.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.