CVE-2026-40885

Name of the Vulnerable Software and Affected Versions goshs versões 2.0.0-beta.4 até 2.0.0-beta.5

Description Quando implantado sem autenticação básica global, o servidor vaza credenciais de Lista de Controle de Acesso (ACL) baseadas em arquivos através de seu feed público de colaboradores. As solicitações para pastas protegidas por .goshs são registradas antes que a autorização seja aplicada. Consequentemente, o websocket de colaborador transmite cabeçalhos de solicitação brutos, incluindo a variável Authorization, para todos os clientes conectados. Um observador não autenticado pode capturar o cabeçalho de autenticação básica específico da pasta de uma vítima e replicá-lo para ler, carregar, sobrescrever e excluir arquivos dentro da subárvore protegida.

Recommendations Atualize para a versão 2.0.0-beta.6. Como medida paliativa temporária, restrinja o acesso ao websocket e ao painel de colaboradores utilizando limites de autenticação.