Plataforma
go
Componente
github.com/patrickhener/goshs
Corrigido em
2.0.1
1.1.5
O goshs, um servidor HTTP simples escrito em Go, apresentava uma vulnerabilidade devido à falta de autorização adequada em rotas que alteram o estado. Essa falha permitia que atacantes não autenticados fizessem upload de arquivos, criassem diretórios e deletassem arquivos dentro de diretórios protegidos por .goshs. A correção foi implementada na versão 2.0.0-beta.4.
A vulnerabilidade CVE-2026-40189 no goshs permite que um atacante não autenticado realize ações de modificação de estado dentro de diretórios protegidos por um arquivo .goshs. Embora o goshs implemente corretamente a autenticação básica e os ACLs para listar diretórios e ler arquivos, não aplica as mesmas restrições às rotas que modificam o estado do servidor, como uploads de arquivos (PUT, multipart POST /upload), criação de diretórios (?mkdir) e exclusão de arquivos (?delete). A gravidade desta vulnerabilidade é classificada como 9.8 na escala CVSS, indicando um risco crítico. Um atacante pode comprometer a integridade dos dados armazenados no servidor goshs e, ao excluir o arquivo .goshs em si, desativar completamente a proteção do diretório.
Um atacante pode explorar esta vulnerabilidade se tiver acesso à rede onde o goshs está em execução. Não requer autenticação prévia, pois a validação de autorização está ausente em rotas de modificação de estado. O atacante pode usar ferramentas padrão como curl ou wget para enviar solicitações PUT, POST e DELETE com os parâmetros necessários para fazer upload, criar ou excluir arquivos e diretórios. A exclusão do arquivo .goshs é uma ação particularmente perigosa, pois desativa a proteção do diretório, permitindo que o atacante realize qualquer operação sem restrições. A facilidade de exploração e o impacto potencial tornam esta vulnerabilidade uma ameaça significativa.
Organizations using goshs for directory listing and file serving, particularly those relying on the .goshs file for authentication, are at risk. Shared hosting environments where multiple users share a goshs instance are especially vulnerable, as an attacker could potentially compromise the entire hosting environment.
• linux / server:
journalctl -u goshs -g 'file upload' | grep -i unauthorized• generic web:
curl -I <goshs_endpoint>/?delete
curl -I <goshs_endpoint>/upload• generic web:
grep -i 'unauthorized access' <access_logs>disclosure
Status do Exploit
EPSS
0.14% (percentil 34%)
CISA SSVC
Vetor CVSS
A principal mitigação para CVE-2026-40189 é atualizar o goshs para a versão 2.0.0-beta.4 ou superior. Esta versão corrige a falta de validação de autorização em rotas de modificação de estado. Até que a atualização seja realizada, recomenda-se desativar temporariamente as funções de upload, criação e exclusão dentro de diretórios protegidos por .goshs. Também é crucial revisar e fortalecer as políticas de segurança do servidor, incluindo a configuração de firewalls e sistemas de detecção de intrusões para monitorar e bloquear atividades suspeitas. A atualização deve ser realizada o mais rápido possível para minimizar o risco de exploração.
Actualice goshs a la versión 2.0.0-beta.4 o superior para mitigar la vulnerabilidad de bypass de autorización. Esta actualización implementa las comprobaciones de autorización necesarias para las rutas que modifican el estado, previniendo la subida no autorizada de archivos, la creación de directorios y la eliminación de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
goshs é um servidor de arquivos simples e seguro que permite compartilhar arquivos por meio de uma interface web.
Esta versão corrige a vulnerabilidade CVE-2026-40189, que permite que atacantes não autenticados modifiquem arquivos e diretórios.
Desative temporariamente as funções de upload, criação e exclusão em diretórios protegidos por .goshs.
Se você estiver usando uma versão anterior à 2.0.0-beta.4, provavelmente será vulnerável.
Revise e fortaleça as políticas de segurança do servidor, incluindo firewalls e sistemas de detecção de intrusões.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.