PT-2026-32038 · Goshs · Goshs
Marduc812
·
Publicado
2026-04-10
·
Atualizado
2026-05-20
·
CVE-2026-40188
CVSS v3.1
7.7
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:C/C:N/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas: goshs versões 1.0.7 até 2.0.0-beta.4
Descrição: goshs é um SimpleHTTPServer escrito em Go. O comando SFTP rename sanitiza apenas o caminho de origem e não o de destino, permitindo uma escrita fora do diretório raiz do SFTP. Isso pode ser usado para escrita de arquivos, potencialmente levando à execução remota de código por meio da sobrescrita de chaves SSH ou arquivos de configuração.
Recomendações: Atualize para a versão 2.0.0-beta.4 ou posterior do goshs.
Exploit
Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Goshs