Plataforma
java
Componente
go-fastdfs-web
Corrigido em
1.3.1
1.3.2
1.3.3
1.3.4
1.3.5
1.3.6
1.3.7
1.3.8
A vulnerabilidade CVE-2026-6105 foi identificada no componente go-fastdfs-web, especificamente na interface doInstall dentro do arquivo src/main/java/com/perfree/controller/InstallController.java. Esta falha de segurança permite a manipulação para contornar a autorização adequada, possibilitando acesso não autorizado remotamente. As versões afetadas incluem 1.3.0 até 1.3.7, e a vulnerabilidade já foi divulgada publicamente, sem resposta do fornecedor.
Uma vulnerabilidade de autorização inadequada foi identificada no perfree go-fastdfs-web até a versão 1.3.7. A vulnerabilidade reside na interface doInstall localizada no arquivo src/main/java/com/perfree/controller/InstallController.java. Um atacante remoto pode explorar essa falha para obter acesso não autorizado a recursos ou executar ações. A severidade da vulnerabilidade é classificada como 7.3 na escala CVSS. A falta de resposta do fornecedor ao alerta precoce sobre essa vulnerabilidade publicamente disponível agrava a situação, deixando os usuários expostos a um risco significativo. A exploração bem-sucedida pode comprometer a integridade e a confidencialidade dos dados armazenados e gerenciados pelo sistema go-fastdfs-web.
A vulnerabilidade de autorização inadequada no go-fastdfs-web permite que um atacante remoto explore a interface doInstall sem a devida autenticação ou autorização. A divulgação pública da vulnerabilidade aumenta o risco de exploração, pois os atacantes agora têm conhecimento da falha e podem desenvolver e implantar exploits. A falta de resposta do fornecedor indica uma possível falta de manutenção ou suporte para o software, o que pode deixar os usuários sem patches de segurança ou atualizações. A natureza remota da exploração significa que a vulnerabilidade pode ser explorada de qualquer lugar com acesso à rede onde o go-fastdfs-web está sendo executado. Os usuários são fortemente aconselhados a tomar medidas imediatas para proteger seus sistemas.
Organizations deploying go-fastdfs-web in production environments, particularly those with exposed instances accessible from the internet, are at significant risk. Shared hosting environments where multiple users share the same go-fastdfs-web instance are also vulnerable, as a compromise of one user could potentially lead to the compromise of others. Systems with legacy configurations or those lacking robust network security controls are especially susceptible.
• java / server:
grep -r 'doInstall' /path/to/go-fastdfs-web/src/main/java/• generic web:
curl -I http://your-server/install | grep -i '200 OK'• generic web:
curl -I http://your-server/install/ | grep -i '403 Forbidden'disclosure
Status do Exploit
EPSS
0.05% (percentil 15%)
CISA SSVC
Vetor CVSS
Diante da falta de uma correção fornecida pelo fornecedor, a mitigação imediata envolve a atualização para uma versão posterior do go-fastdfs-web, se disponível. Se a atualização não for possível, é recomendável implementar controles de acesso rigorosos no ambiente onde o go-fastdfs-web é executado. Isso inclui a configuração de firewalls, a restrição do acesso à interface doInstall apenas a usuários autorizados e o monitoramento contínuo do sistema em busca de sinais de exploração. Além disso, é aconselhável revisar e fortalecer as políticas de segurança existentes para garantir uma defesa em camadas contra possíveis ataques. A falta de resposta do fornecedor sublinha a importância da autoproteção e das práticas de segurança proativas.
Actualice a una versión corregida de go-fastdfs-web. Revise la configuración de autorización para asegurar que solo los usuarios autorizados puedan acceder a la funcionalidad de instalación. Implemente controles de acceso robustos para prevenir accesos no autorizados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Significa que um usuário pode acessar funções ou dados aos quais não deveria ter acesso.
Implemente controles de acesso rigorosos e monitore a atividade do sistema.
A falta de resposta é preocupante e destaca a importância da autoproteção.
Se você estiver usando uma versão do go-fastdfs-web anterior à 1.3.8, provavelmente estará vulnerável.
Consulte a entrada CVE-2026-6105 em bancos de dados de vulnerabilidades como o NIST NVD.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo pom.xml e descubra na hora se você está afetado.