CVE-2026-35392

Nome do Software Vulnerável e Versões Afetadas goshs (versões afetadas não especificadas)

Descrição goshs é suscetível a uma falha crítica de travessia de caminho na funcionalidade de upload PUT. O processo de upload PUT carece de sanitização adequada do caminho, permitindo que invasores gravem arquivos arbitrários no sistema. A vulnerabilidade reside no arquivo httpserver/updown.go, especificamente nas linhas 20-69, onde req.URL.Path é usado diretamente para construir o caminho de salvamento sem qualquer validação ou sanitização. Isso permite a criação de arquivos fora do webroot pretendido, levando potencialmente a um comprometimento do sistema. O endpoint da API ''/'' é vulnerável, utilizando o método PUT. O parâmetro vulnerável é req.URL.Path. Uma prova de conceito (PoC) demonstra a capacidade de sobrescrever arquivos no sistema usando sequências '..' codificadas em URL para atravessar o sistema de arquivos.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.