CVE-2026-33528 in godoxyالمعلومات

الملخص

بحسب VulDB • 19/05/2026

GoDoxy هو وكيل عكسي (reverse proxy) ومُرتِّب حاويات (container orchestrator) للمستخدمين الذين يستضيفون خدماتهم بأنفسهم. قبل الإصدار 0.27.5، كانت نقطة نهاية واجهة برمجة التطبيقات (API endpoint) الخاصة بمحتوى الملف عند المسار `/api/v1/file/content` عرضة لهجوم عبور المسار (path traversal). يتم تمرير معلمة الاستعلام `filename` مباشرةً إلى الدالة `path.Join(common.ConfigBasePath, filename)` حيث تكون `ConfigBasePath = "config"` (مسار نسبي). لا يتم تطبيق أي تنقية أو تحقق إضافي سوى التحقق من أن الحقل غير فارغ (`binding:"required"`). يمكن لمهاجم مُصادَق عليه استخدام تسلسلات `../` لقراءة أو كتابة ملفات خارج دليل `config/` المقصود، بما في ذلك مفاتيح TLS الخاصة، ورموز تحديث OAuth، وأي ملف يمكن الوصول إليه بواسطة معرف المستخدم (UID) الخاص بالحاوية. يُصلح الإصدار 0.27.5 هذه المشكلة.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

20/03/2026

إفشاء

26/03/2026

الاعتدال

تمت الموافقة

إدخال

VDB-353737

EPSS

0.00502

KEV

لا

النشاطات

منخفض جدًا

المصادر

Interested in the pricing of exploits?

See the underground prices here!