CVE-2026-34581

Nome do Software Vulnerável e Versões Afetadas goshs versões 1.1.0 até 2.0.0-beta.2

Descrição goshs, um SimpleHTTPServer escrito em Go, possui uma falha onde o mecanismo de Share Token pode ser ignorado. Essa ignorância permite acesso não autorizado a todas as funcionalidades do goshs, incluindo execução de código. Especificamente, o BasicAuthMiddleware prioriza incorretamente a verificação do parâmetro ?token= antes da verificação das credenciais. Se um token válido existir em SharedLinks, a solicitação ignora completamente a autenticação, mesmo que o parâmetro ?ws (WebSocket) esteja presente. Isso permite que um invasor acesse recursos que deveriam ser restritos, como listagem de diretórios, exclusão de arquivos, acesso à área de transferência, conexões WebSocket e execução de comandos CLI. Uma prova de conceito (PoC) demonstra a capacidade de executar comandos como id e cat /etc/passwd sem autenticação usando um token de compartilhamento.

Recomendações Atualize o goshs para a versão 2.0.0-beta.2 ou posterior.