CRITICALCVE-2026-40189CVSS 9.8

goshs 在 goshs 状态改变路由中存在基于文件的 ACL 授权绕过

Q: CVE-2026-40189 是什么 — github.com/patrickhener/goshs 中的 Path Traversal？

goshs 是一个简单而安全的服务器，允许通过 Web 界面共享文件。

Q: github.com/patrickhener/goshs 中的 CVE-2026-40189 是否会影响我？

此版本修复了 CVE-2026-40189 漏洞，该漏洞允许未经授权的攻击者修改文件和目录。

Q: 如何修复 github.com/patrickhener/goshs 中的 CVE-2026-40189？

暂时禁用由 `.goshs` 保护的目录中的上传、创建和删除功能。

Q: CVE-2026-40189 是否正在被积极利用？

如果您使用的是 2.0.0-beta.4 之前的版本，则很可能容易受到攻击。

Q: 在哪里可以找到 github.com/patrickhener/goshs 关于 CVE-2026-40189 的官方安全通告？

审查和加强服务器安全策略，包括防火墙和入侵检测系统。

平台

组件

github.com/patrickhener/goshs

修复版本

2.0.1

1.1.5

AI Confidence: highNVDEPSS 0.1%已审阅: 2026年5月

在NVD查看

保存

goshs是一个用Go编写的SimpleHTTPServer。在2.0.0-beta.4之前，goshs强制执行了为每个文件夹记录的.goshs ACL/基本身份验证机制，用于目录列表和文件读取，但未对状态更改路由执行相同的授权检查。一个未认证的攻击者可以在受.goshs保护的目录中上传文件、创建目录和删除文件。通过删除.goshs文件本身，攻击者可以删除文件夹的身份验证策略，然后无需凭据访问以前受保护的内容。

影响与攻击场景

goshs 中的 CVE-2026-40189 允许未经验证的攻击者在由 .goshs 文件保护的目录中执行状态更改操作。虽然 goshs 正确实现了目录列表和文件读取的基本身份验证和 ACL（访问控制列表），但它不将相同的限制应用于修改服务器状态的路由，例如文件上传（PUT、multipart POST /upload）、目录创建（?mkdir）和文件删除（?delete）。此漏洞的严重程度在 CVSS 尺度上评为 9.8，表明存在关键风险。攻击者可能会危及存储在 goshs 服务器上的数据的完整性，并通过删除 .goshs 文件本身来完全禁用目录的保护。

利用背景

如果攻击者可以访问 goshs 运行的位置的网络，则可以利用此漏洞。它不需要任何先前的身份验证，因为状态更改路由中缺少身份验证验证。攻击者可以使用 curl 或 wget 等标准工具发送 PUT、POST 和 DELETE 请求，其中包含上传、创建或删除文件和目录所需的参数。删除 .goshs 文件是一种特别危险的操作，因为它会禁用目录的保护，允许攻击者在没有限制的情况下执行任何操作。易于利用和潜在影响使此漏洞成为重大的威胁。

哪些人处于风险中翻译中…

Organizations using goshs for directory listing and file serving, particularly those relying on the .goshs file for authentication, are at risk. Shared hosting environments where multiple users share a goshs instance are especially vulnerable, as an attacker could potentially compromise the entire hosting environment.

检测步骤翻译中…

• linux / server:

journalctl -u goshs -g 'file upload' | grep -i unauthorized

• generic web:

curl -I <goshs_endpoint>/?delete
curl -I <goshs_endpoint>/upload

• generic web:

 grep -i 'unauthorized access' <access_logs>

攻击时间线

2026-04-10Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告4 份威胁报告

EPSS

0.14% (34% 百分位)

CISA SSVC

利用情况poc

可自动化yes

技术影响total

受影响的软件

组件github.com/patrickhener/goshs

供应商osv

影响范围修复版本

< 2.0.0-beta.4 – < 2.0.0-beta.42.0.1

1.1.41.1.5

弱点分类 (CWE)

CWE-862

时间线

已保留2026-04-09
发布日期2026-04-10
修改日期2026-04-15
EPSS 更新日期2026-04-18

缓解措施和替代方案

CVE-2026-40189 的主要缓解措施是将 goshs 更新到 2.0.0-beta.4 或更高版本。此版本更正了状态更改路由中身份验证验证的缺失。在执行更新之前，建议暂时禁用由 .goshs 保护的目录中的上传、创建和删除功能。此外，审查和加强服务器安全策略（包括防火墙配置和入侵检测系统）以监控和阻止可疑活动至关重要。应尽快执行更新以最大程度地减少利用风险。

修复方法翻译中…

Actualice goshs a la versión 2.0.0-beta.4 o superior para mitigar la vulnerabilidad de bypass de autorización. Esta actualización implementa las comprobaciones de autorización necesarias para las rutas que modifican el estado, previniendo la subida no autorizada de archivos, la creación de directorios y la eliminación de archivos.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-40189 是什么 — github.com/patrickhener/goshs 中的 Path Traversal？