CVE-2026-40883

Name of the Vulnerable Software and Affected Versions goshs versões 2.0.0-beta.4 até 2.0.0-beta.5

Description o goshs contém um problema de falsificação de solicitação cross-site em suas rotas HTTP GET de alteração de estado. Um invasor externo pode fazer com que um navegador autenticado execute ações destrutivas porque o software depende exclusivamente de autenticação básica HTTP e não realiza a validação de CSRF, Origin ou Referer para essas rotas. Isso permite que uma página controlada por um invasor desencadeie mutações no sistema de arquivos via solicitações GET, especificamente através dos parâmetros ?delete e ?mkdir, que são processados pelas funções deleteFile() e handleMkdir(), respectivamente.

Recommendations Atualize para a versão 2.0.0-beta.6.