goshs: Limitação Inadequada de um Nome de Caminho para um Diretório Restrito ('Path Traversal') no Upload PUT do goshs
Plataforma
go
Componente
github.com/patrickhener/goshs
Corrigido em
2.0.1
1.1.5-0.20260401172448-237f3af891a9
A vulnerabilidade CVE-2026-35392 é uma falha crítica de Path Traversal no componente github.com/patrickhener/goshs. A falta de sanitização no caminho durante o upload de arquivos via PUT permite que um atacante acesse arquivos fora do diretório esperado. A vulnerabilidade foi corrigida na versão 1.1.5-0.20260401172448-237f3af891a9.
Detecte esta CVE no seu projeto
Envie seu arquivo go.mod e descubra na hora se você está afetado.
Impacto e Cenários de Ataque
A vulnerabilidade CVE-2026-35392 no goshs permite que um atacante remoto escreva arquivos arbitrários no servidor. Isso se deve à falta de validação de caminho na função de upload PUT. O servidor usa diretamente req.URL.Path para construir o caminho de salvamento, sem realizar nenhuma sanitização de caminho, verificação de .. ou contenção dentro de um diretório raiz web. Um atacante pode explorar esta vulnerabilidade enviando uma solicitação PUT com um caminho malicioso contendo sequências como ../, permitindo que ele sobrescreva arquivos fora do diretório pretendido. Como nenhuma autenticação ou configuração especial é necessária, a vulnerabilidade afeta a configuração padrão do servidor, representando um risco significativo para sistemas expostos à rede.
Contexto de Exploração
Um atacante pode explorar esta vulnerabilidade enviando uma solicitação PUT para um servidor goshs vulnerável. A solicitação deve incluir um caminho malicioso na URL contendo sequências como ../ para navegar fora do diretório raiz web. Por exemplo, PUT /../../etc/passwd. O servidor, ao não validar o caminho, salvará o arquivo carregado no local especificado, potencialmente sobrescrevendo arquivos críticos do sistema. A facilidade de exploração, combinada com a falta de autenticação, torna esta vulnerabilidade uma preocupação de alta prioridade para correção.
Quem Está em Riscotraduzindo…
Organizations deploying goshs in production environments, particularly those without robust access controls or WAF protection, are at significant risk. Systems exposed directly to the internet or those with limited network segmentation are especially vulnerable. Shared hosting environments utilizing goshs are also at increased risk due to the potential for cross-tenant exploitation.
Passos de Detecçãotraduzindo…
• linux / server:
journalctl -f | grep -i 'upload' && grep -i 'path traversal'• generic web:
curl -X PUT --data-binary @evil.txt 'http://<target>/../../../../etc/passwd'Linha do Tempo do Ataque
- Disclosure
disclosure
Inteligência de Ameaças
Status do Exploit
EPSS
0.11% (percentil 29%)
CISA SSVC
Vetor CVSS
O que significam essas métricas?
- Attack Vector
- Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
- Attack Complexity
- Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
- Privileges Required
- Nenhum — sem autenticação necessária para explorar.
- User Interaction
- Nenhuma — ataque automático e silencioso. A vítima não faz nada.
- Scope
- Inalterado — impacto limitado ao componente vulnerável.
- Confidentiality
- Alto — perda total de confidencialidade. O atacante pode ler todos os dados.
- Integrity
- Alto — o atacante pode escrever, modificar ou excluir qualquer dado.
- Availability
- Alto — falha completa ou esgotamento de recursos. Negação de serviço total.
Software Afetado
Classificação de Fraqueza (CWE)
Linha do tempo
- Reservado
- Publicada
- Modificada
- EPSS atualizado
Mitigação e Soluções Alternativas
A mitigação recomendada é atualizar o goshs para a versão 1.1.5-0.20260401172448-237f3af891a9 ou posterior. Esta versão corrige a vulnerabilidade implementando uma validação adequada do caminho. Como uma solução alternativa temporária, um Firewall de Aplicações Web (WAF) pode ser implementado para bloquear solicitações PUT com caminhos suspeitos. Além disso, restringir o acesso ao servidor goshs apenas a fontes confiáveis pode reduzir o risco de exploração. É crucial revisar e fortalecer as políticas de segurança do servidor para prevenir incidentes futuros.
Como corrigirtraduzindo…
Actualice goshs a la versión 2.0.0-beta.3 o superior para mitigar la vulnerabilidad de recorrido de directorio. Esta versión incluye la sanitización adecuada de las rutas para prevenir el acceso no autorizado a archivos.
Boletim de Segurança CVE
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
Perguntas frequentes
O que é CVE-2026-35392 — Path Traversal em github.com/patrickhener/goshs?
Significa que um atacante pode escrever arquivos em qualquer local do sistema que o usuário que executa o servidor goshs tenha permissão para escrever.
Estou afetado pelo CVE-2026-35392 no github.com/patrickhener/goshs?
Execute uma solicitação PUT para um servidor goshs com um caminho malicioso, como /../etc/passwd. Se o arquivo for salvo no local especificado, seu servidor é vulnerável.
Como corrijo o CVE-2026-35392 no github.com/patrickhener/goshs?
Um WAF (Firewall de Aplicações Web) é uma ferramenta de segurança que filtra o tráfego HTTP/HTTPS, bloqueando solicitações maliciosas. Ele pode ajudar a mitigar esta vulnerabilidade bloqueando solicitações PUT com caminhos suspeitos.
O CVE-2026-35392 está sendo explorado ativamente?
Implemente um WAF como uma solução alternativa temporária e restrinja o acesso ao servidor goshs apenas a fontes confiáveis.
Onde encontro o aviso oficial do github.com/patrickhener/goshs para o CVE-2026-35392?
Consulte a descrição da vulnerabilidade na base de dados de vulnerabilidades CVE: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-35392
Seu projeto está afetado?
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.