平台
go
组件
goshs
修复版本
2.0.1
2.0.0-beta.6
CVE-2026-40883 描述了 goshs 中的跨站请求伪造 (CSRF) 漏洞。该漏洞允许外部攻击者利用已认证的浏览器触发破坏性操作,例如删除文件或创建目录。该漏洞影响 goshs 2.0.0-beta.4 及更高版本,但不包括 2.0.0-beta.6。已发布 2.0.0-beta.6 版本以修复此问题。
该 CSRF 漏洞允许攻击者在受害者已认证访问 goshs 的情况下,未经授权地执行破坏性操作。攻击者可以构造恶意链接,诱使用害者点击,从而触发诸如删除重要文件、创建恶意目录等操作。由于 goshs 依赖于 HTTP 基本身份验证,而缺乏 CSRF 保护,攻击者可以轻松地利用此漏洞。攻击的成功取决于受害者是否已认证登录 goshs,并且攻击者能够诱导受害者点击恶意链接。这种攻击可能导致数据丢失、系统配置更改,甚至可能被用于进一步的攻击。
该漏洞已公开披露,且存在利用该漏洞的可能性。目前尚无公开的利用代码,但由于其 CSRF 的本质,利用相对简单。该漏洞尚未被添加到 CISA KEV 目录中。建议密切关注安全社区的动态,以获取有关此漏洞的最新信息。
Organizations and individuals using goshs version 2.0.0-beta.4 through 2.0.0-beta.5, particularly those deploying goshs in automated environments or as part of configuration management systems, are at significant risk. Shared hosting environments where multiple users share a goshs instance are also particularly vulnerable.
• linux / server:
ps aux | grep goshs• generic web:
curl -I https://your-goshs-server.com/?mkdir
curl -I https://your-goshs-server.com/?deleteCheck access logs for unusual GET requests to / with parameters like ?mkdir or ?delete originating from unexpected IP addresses.
disclosure
漏洞利用状态
EPSS
0.02% (4% 百分位)
CISA SSVC
缓解此漏洞的关键是升级到 goshs 2.0.0-beta.6 或更高版本,该版本包含修复程序。如果无法立即升级,可以考虑以下临时缓解措施:实施严格的访问控制策略,限制用户对敏感操作的权限;在 goshs 前面部署 Web 应用防火墙 (WAF),配置 WAF 以阻止可疑的跨站请求;审查 goshs 的配置,确保没有不必要的权限或功能暴露。升级后,请验证 goshs 版本是否已成功更新,并检查系统日志中是否存在任何异常活动。
将 goshs 更新到 2.0.0-beta.6 或更高版本以缓解 CSRF 漏洞。此版本实现了适当的验证,以防止通过状态改变的 GET 路由执行破坏性操作。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-40883 是 goshs 2.0.0-beta.4 及之前版本中的跨站请求伪造 (CSRF) 漏洞,攻击者可以利用已认证浏览器触发破坏性操作。
如果您正在使用 goshs 2.0.0-beta.4 及更高版本,但不包括 2.0.0-beta.6,则您可能受到此漏洞的影响。
升级到 goshs 2.0.0-beta.6 或更高版本以修复此漏洞。
虽然目前没有公开的利用代码,但由于其 CSRF 的本质,利用相对简单,存在被利用的可能性。
请查阅 goshs 官方安全公告或 GitHub 仓库以获取更多信息。
上传你的 go.mod 文件,立即知道是否受影响。