CVE-2026-40884

Name of the Vulnerable Software and Affected Versions goshs versão v2.0.0-beta.5

Description Existe um bypass de autenticação no serviço SFTP quando o servidor é configurado utilizando a sintaxe de autenticação básica com um nome de usuário vazio, como ao usar a variável -b no formato ':pass'. Nesta configuração, o software não instala um manipulador de senha SFTP, permitindo que um atacante de rede não autenticado se conecte ao serviço SFTP e acesse arquivos sem fornecer uma senha. Isso pode levar à leitura, upload, renomeação e exclusão não autorizadas de arquivos dentro da raiz SFTP configurada.

Recommendations Para a versão v2.0.0-beta.5, evite usar a variável -b com um nome de usuário vazio (ex: ':pass') quando a opção -sftp estiver habilitada para evitar o acesso não autenticado.