PT-2026-54775 · Goshs · Goshs
Publicado
2026-07-01
·
Atualizado
2026-07-07
·
CVE-2026-50138
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
goshs versões anteriores a 2.0.10
Description
Quando o listener WebDAV é ativado usando a flag
-w, o software falha em aplicar as flags de restrição de modo na porta WebDAV. Enquanto a porta HTTP primária respeita corretamente as flags --read-only, --upload-only e --no-delete, a porta WebDAV é conectada diretamente ao golang.org/x/net/webdav.Handler sem essas proteções. Isso permite que um cliente WebDAV autenticado execute operações de alteração de estado, como PUT, DELETE, MKCOL, MOVE e COPY, mesmo quando o operador restringiu explicitamente essas ações. Esta falha afeta a integridade e a confidencialidade dos arquivos servidos, pois usuários podem sobrescrever ou excluir dados e acessar conteúdos em modo de apenas upload.Recommendations
Atualize o goshs para a versão 2.0.10 ou posterior.
Como medida paliativa temporária, evite usar o listener WebDAV (flag
-w) quando restrições de modo como --read-only, --upload-only ou --no-delete forem necessárias.Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Goshs