平台
go
组件
github.com/patrickhener/goshs
修复版本
2.0.1
1.1.5-0.20260401172448-237f3af891a9
CVE-2026-35392 描述了 gosh 组件中的路径遍历漏洞。该漏洞允许未经身份验证的攻击者通过 HTTP PUT 请求读取服务器上的任意文件,造成严重的安全风险。受影响的版本包括 gosh v1.1.4 及更早版本。建议立即升级至 1.1.5-0.20260401172448-237f3af891a9 以缓解此风险。
该路径遍历漏洞允许攻击者绕过任何身份验证和授权机制,直接访问服务器文件系统。攻击者可以通过精心构造的 HTTP PUT 请求,将目标文件路径包含在请求的 URL 中,利用 req.URL.Path 未经清理的特性。成功利用此漏洞可能导致敏感信息泄露,例如配置文件、源代码、数据库凭据等。更严重的后果包括攻击者完全控制服务器,执行恶意代码,或破坏系统数据。由于该漏洞无需身份验证,攻击面非常广阔,潜在影响巨大。
目前尚无公开的漏洞利用代码,但该漏洞的严重性较高,且无需身份验证,因此存在被利用的风险。该漏洞已在 2026 年 4 月 3 日公开披露。建议密切关注安全社区的动态,及时获取最新的漏洞信息和缓解措施。由于缺乏公开利用,当前风险评估为中等。
Organizations deploying goshs in production environments, particularly those without robust access controls or WAF protection, are at significant risk. Systems exposed directly to the internet or those with limited network segmentation are especially vulnerable. Shared hosting environments utilizing goshs are also at increased risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -f | grep -i 'upload' && grep -i 'path traversal'• generic web:
curl -X PUT --data-binary @evil.txt 'http://<target>/../../../../etc/passwd'disclosure
漏洞利用状态
EPSS
0.11% (29% 百分位)
CISA SSVC
最有效的缓解措施是立即将 gosh 升级至 1.1.5-0.20260401172448-237f3af891a9 或更高版本。如果无法立即升级,可以考虑以下临时缓解措施:在 Web 服务器层配置访问控制规则,限制对 PUT /<path> 接口的访问;实施严格的文件访问权限控制,确保应用程序只能访问必要的文件;监控服务器日志,查找可疑的 PUT 请求,并及时响应。升级后,请验证文件上传功能是否正常工作,确认漏洞已成功修复。
将 goshs 更新到 2.0.0-beta.3 或更高版本以缓解目录遍历漏洞。此版本包括适当的路径清理,以防止未经授权的文件访问。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-35392 是 gosh 组件中发现的路径遍历漏洞,允许攻击者通过 HTTP PUT 请求读取服务器上的任意文件。
如果您的 gosh 版本低于 1.1.5-0.20260401172448-237f3af891a9,则可能受到影响。
请立即将 gosh 升级至 1.1.5-0.20260401172448-237f3af891a9 或更高版本。
目前尚无公开利用,但由于漏洞的严重性,存在被利用的风险。
请查阅 gosh 项目的官方 GitHub 仓库或相关安全公告。
CVSS 向量
上传你的 go.mod 文件,立即知道是否受影响。