CVE-2026-35393

Nome do Software Vulnerável e Versões Afetadas: goshs (versões afetadas não especificadas)

Descrição: Uma falha de travessia de caminho em goshs permite acesso e manipulação não autorizados de arquivos. A falha reside na funcionalidade de upload multipart POST, especificamente no arquivo httpserver/updown.go (linhas 71-174). A vulnerabilidade ocorre porque o diretório de destino é derivado do variável req.URL.Path não higienizado, permitindo que invasores atravessem o sistema de arquivos usando sequências de travessia de diretório como ../... O nome do arquivo é higienizado, mas o caminho não, permitindo que um invasor grave arquivos em locais arbitrários. O endpoint da API ''/upload'' está envolvido, e o parâmetro filename no upload multipart é usado para controlar o nome do arquivo final no disco. Isso pode levar a gravações arbitrárias de arquivos não autenticadas em qualquer diretório existente no sistema de arquivos.

Recomendações: Atualmente, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.