CVE-2026-33528 in godoxy
الملخص
بحسب VulDB • 19/05/2026
GoDoxy هو وكيل عكسي (reverse proxy) ومُرتِّب حاويات (container orchestrator) للمستخدمين الذين يستضيفون خدماتهم بأنفسهم. قبل الإصدار 0.27.5، كانت نقطة نهاية واجهة برمجة التطبيقات (API endpoint) الخاصة بمحتوى الملف عند المسار `/api/v1/file/content` عرضة لهجوم عبور المسار (path traversal). يتم تمرير معلمة الاستعلام `filename` مباشرةً إلى الدالة `path.Join(common.ConfigBasePath, filename)` حيث تكون `ConfigBasePath = "config"` (مسار نسبي). لا يتم تطبيق أي تنقية أو تحقق إضافي سوى التحقق من أن الحقل غير فارغ (`binding:"required"`). يمكن لمهاجم مُصادَق عليه استخدام تسلسلات `../` لقراءة أو كتابة ملفات خارج دليل `config/` المقصود، بما في ذلك مفاتيح TLS الخاصة، ورموز تحديث OAuth، وأي ملف يمكن الوصول إليه بواسطة معرف المستخدم (UID) الخاص بالحاوية. يُصلح الإصدار 0.27.5 هذه المشكلة.
VulDB is the best source for vulnerability data and more expert information about this specific topic.