CVE-2026-33528 in godoxyinfo

Zusammenfassung

von VulDB • 24.05.2026

GoDoxy ist ein Reverse-Proxy und Container-Orchestrator für Self-Hosting-Nutzer. Vor Version 0.27.5 ist der API-Endpunkt für Dateiinhalt unter `/api/v1/file/content` anfällig für Path Traversal. Der Query-Parameter `filename` wird direkt an `path.Join(common.ConfigBasePath, filename)` übergeben, wobei `ConfigBasePath = "config"` (ein relativer Pfad) ist. Es wird keine Sanitization oder Validierung durchgeführt, außer der Prüfung, dass das Feld nicht leer ist (`binding:"required"`). Ein authentifizierter Angreifer kann `../`-Sequenzen nutzen, um Dateien außerhalb des vorgesehenen `config/`-Verzeichnisses zu lesen oder zu schreiben, einschließlich TLS-Private-Keys, OAuth-Refresh-Tokens und beliebiger Dateien, auf die die UID des Containers Zugriff hat. Version 0.27.5 behebt das Problem.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Zuständig

GitHub M

Reservieren

20.03.2026

Veröffentlichung

26.03.2026

Moderieren

akzeptiert

Eintrag

VDB-353737

CPE

bereit

EPSS

0.00502

KEV

nein

Aktivitäten

very low

Quellen

Do you know our Splunk app?

Download it now for free!