Plataforma
go
Componente
goshs
Corrigido em
2.0.1
2.0.0-beta.6
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi descoberta em goshs, afetando versões entre 2.0.0-beta.4 (inclusive) e 2.0.0-beta.6 (exclusiva). Esta falha permite que um atacante, explorando a confiança de um usuário autenticado, execute ações destrutivas, como criação e exclusão de diretórios, através de requisições HTTP GET. A vulnerabilidade foi corrigida na versão 2.0.0-beta.6 e a atualização é recomendada.
A vulnerabilidade CSRF em goshs representa um risco significativo, pois permite que um atacante execute ações em nome de um usuário autenticado sem o seu conhecimento. Um atacante pode, por exemplo, criar diretórios indesejados ou excluir dados importantes no sistema. A exploração bem-sucedida dessa vulnerabilidade pode levar à perda de dados, comprometimento da integridade do sistema e, potencialmente, à escalada de privilégios, dependendo das permissões do usuário afetado. A ausência de validação de origem (Origin) ou Referer agrava o problema, tornando a exploração mais fácil e direta.
A vulnerabilidade foi divulgada em 2026-04-21. Não há evidências de exploração ativa em campanhas direcionadas no momento da divulgação. A ausência de um Proof of Concept (PoC) público dificulta a avaliação precisa da probabilidade de exploração, mas a facilidade de exploração inerente a vulnerabilidades CSRF sugere um risco moderado. A vulnerabilidade não está listada no KEV (CISA Known Exploited Vulnerabilities) até o momento.
Organizations and individuals using goshs version 2.0.0-beta.4 through 2.0.0-beta.5, particularly those deploying goshs in automated environments or as part of configuration management systems, are at significant risk. Shared hosting environments where multiple users share a goshs instance are also particularly vulnerable.
• linux / server:
ps aux | grep goshs• generic web:
curl -I https://your-goshs-server.com/?mkdir
curl -I https://your-goshs-server.com/?deleteCheck access logs for unusual GET requests to / with parameters like ?mkdir or ?delete originating from unexpected IP addresses.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
A mitigação primária é a atualização para a versão 2.0.0-beta.6, que corrige a vulnerabilidade. Se a atualização imediata não for possível, considere implementar medidas de segurança adicionais, como a imposição de autenticação mais robusta, incluindo a validação de tokens CSRF em todas as requisições sensíveis. Implementar validação de cabeçalhos HTTP Origin e Referer pode ajudar a mitigar o risco, embora a correção completa dependa da atualização para a versão corrigida. Monitore logs de acesso em busca de requisições suspeitas originadas de fontes desconhecidas.
Atualize goshs para a versão 2.0.0-beta.6 ou superior para mitigar a vulnerabilidade de CSRF. Esta versão implementa validações adequadas para prevenir ações destrutivas através de rotas GET que alteram o estado.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-40883 is a cross-site request forgery (CSRF) vulnerability affecting goshs versions 2.0.0-beta.4 through 2.0.0-beta.5, allowing attackers to trigger destructive actions.
You are affected if you are running goshs version 2.0.0-beta.4 or 2.0.0-beta.5. Check your version and upgrade immediately.
Upgrade to goshs version 2.0.0-beta.6 or later to resolve the CSRF vulnerability. Consider WAF rules as a temporary mitigation.
There is currently no confirmed active exploitation, but the vulnerability's simplicity suggests potential for future attacks.
Refer to the goshs project's official communication channels and release notes for the advisory related to CVE-2026-40883.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.