CVE-2026-42091

Nome do Software Vulnerável e Versões Afetadas goshs versões anteriores a 2.0.2

Descrição O manipulador de upload PUT em httpserver/updown.go carece de validação de token Cross-Site Request Forgery (CSRF). CSRF é um tipo de ataque que engana a vítima para enviar uma solicitação maliciosa. Esta deficiência, combinada com o cabeçalho Access-Control-Allow-Origin: * incondicional no manipulador de pré-vôo OPTIONS em httpserver/server.go, permite que qualquer site escreva arquivos arbitrários em uma instância do goshs através do navegador da vítima, ignorando o isolamento de rede, como localhost ou redes internas.

Recomendações Atualize para a versão 2.0.2.