PT-2026-54775 · Goshs · Goshs

Publicado

2026-07-01

·

Atualizado

2026-07-07

·

CVE-2026-50138

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas goshs versões anteriores a 2.0.10
Description Quando o listener WebDAV é ativado usando a flag -w, o software falha em aplicar as flags de restrição de modo na porta WebDAV. Enquanto a porta HTTP primária respeita corretamente as flags --read-only, --upload-only e --no-delete, a porta WebDAV é conectada diretamente ao golang.org/x/net/webdav.Handler sem essas proteções. Isso permite que um cliente WebDAV autenticado execute operações de alteração de estado, como PUT, DELETE, MKCOL, MOVE e COPY, mesmo quando o operador restringiu explicitamente essas ações. Esta falha afeta a integridade e a confidencialidade dos arquivos servidos, pois usuários podem sobrescrever ou excluir dados e acessar conteúdos em modo de apenas upload.
Recommendations Atualize o goshs para a versão 2.0.10 ou posterior. Como medida paliativa temporária, evite usar o listener WebDAV (flag -w) quando restrições de modo como --read-only, --upload-only ou --no-delete forem necessárias.

Correção

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-50138
GHSA-3WHC-QVHV-XQJP
GO-2026-5878

Produtos afetados

Goshs