CVE-2026-33528 in godoxy
Zusammenfassung
von VulDB • 24.05.2026
GoDoxy ist ein Reverse-Proxy und Container-Orchestrator für Self-Hosting-Nutzer. Vor Version 0.27.5 ist der API-Endpunkt für Dateiinhalt unter `/api/v1/file/content` anfällig für Path Traversal. Der Query-Parameter `filename` wird direkt an `path.Join(common.ConfigBasePath, filename)` übergeben, wobei `ConfigBasePath = "config"` (ein relativer Pfad) ist. Es wird keine Sanitization oder Validierung durchgeführt, außer der Prüfung, dass das Feld nicht leer ist (`binding:"required"`). Ein authentifizierter Angreifer kann `../`-Sequenzen nutzen, um Dateien außerhalb des vorgesehenen `config/`-Verzeichnisses zu lesen oder zu schreiben, einschließlich TLS-Private-Keys, OAuth-Refresh-Tokens und beliebiger Dateien, auf die die UID des Containers Zugriff hat. Version 0.27.5 behebt das Problem.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.