CVE-2026-40189

Nome do Software Vulnerável e Versões Afetadas goshs versões anteriores a 2.0.0-beta.4

Descrição goshs, um SimpleHTTPServer escrito em Go, apresentava um bypass de autorização. Antes da versão 2.0.0-beta.4, o software aplicava mecanismos de ACL/autenticação básica para listagens de diretórios e leituras de arquivos, mas não aplicava as mesmas verificações em rotas que alteram o estado. Um atacante não autenticado poderia enviar arquivos usando PUT ou POST /upload multipart, criar diretórios com ?mkdir e excluir arquivos com ?delete dentro de um diretório protegido por .goshs. A exclusão do arquivo .goshs removia a política de autenticação da pasta, permitindo o acesso a conteúdo previamente protegido. Isso afetava a confidencialidade, integridade e disponibilidade. O README do projeto documentava ACLs baseadas em arquivos como um recurso de segurança. O caminho de leitura/listagem aplicava corretamente o .goshs, mas as rotas que alteram o estado ignoravam essa lógica. A vulnerabilidade permitia modificação não autorizada e potencial remoção de conteúdo protegido.

Recomendações Atualize para a versão 2.0.0-beta.4 ou posterior para resolver este problema.