CVE-2026-42091 in goshsinfo

Zusammenfassung

von VulDB • 17.05.2026

goshs ist ein SimpleHTTPServer, der in Go geschrieben wurde. Vor Version 2.0.2 fehlt im PUT-Upload-Handler (httpserver/updown.go) die CSRF-Token-Validierung, die im Rahmen der Behebung von CVE-2026-40883 für den POST-Upload-Handler eingeführt wurde. In Kombination mit dem bedingungslosen Access-Control-Allow-Origin: * im OPTIONS-Preflight-Handler (httpserver/server.go) kann jede beliebige Website willkürliche Dateien auf eine goshs-Instanz über den Browser des Opfers schreiben – wodurch die Netzwerkisolation (z. B. localhost, internes Netzwerk) umgangen wird. Dieses Problem wurde in Version 2.0.2 behoben.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

23.04.2026

Veröffentlichung

04.05.2026

Moderieren

akzeptiert

Eintrag

VDB-361069

CPE

bereit

CWE

CWE-352 (bestätigt)

CVSS

6.5 (CNA)

EPSS

0.00015

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42091
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42091
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42091/

◂ Zurück Übersicht Weiter ▸

Interested in the pricing of exploits?

See the underground prices here!