Nome do software vulnerável e versões afetadas:

Aplicativo Go que utiliza router.Static e osfs.FS (versões afetadas não especificadas)

Descrição:

A vulnerabilidade permite que clientes acessem qualquer arquivo no sistema de arquivos do host utilizando caminhos relativos, pois o caminho solicitado não é sanitizado e os segmentos . e .. são aceitos. Os arquivos serão retornados como resposta, desde que o usuário do sistema que executa o aplicativo Go tenha acesso de leitura ao arquivo solicitado.

Recomendações:

Como solução alternativa, use fsutil.NewEmbed(embeddedFS) do pacote goyave.dev/goyave/v5/util/fsutil para servir conteúdo estático usando Router.Static em vez de &osfs.FS. Isso garantirá que os sistemas de arquivos incorporados tenham como raiz o diretório especificado, tornando impossível navegar fora do diretório pretendido pelos desenvolvedores.