CVE-2026-33528 in godoxy
Resumen
por VulDB • 2026-05-15
GoDoxy es un proxy inverso y un orquestador de contenedores para autoalojamiento. Antes de la versión 0.27.5, el punto de conexión de la API de contenido de archivos en `/api/v1/file/content` es vulnerable a una traversía de rutas (path traversal). El parámetro de consulta `filename` se pasa directamente a `path.Join(common.ConfigBasePath, filename)`, donde `ConfigBasePath = "config"` (una ruta relativa). No se aplica ninguna sanitización ni validación más allá de comprobar que el campo no esté vacío (`binding:"required"`). Un atacante autenticado puede utilizar secuencias `../` para leer o escribir archivos fuera del directorio `config/` previsto, incluidas las claves privadas TLS, los tokens de actualización de OAuth y cualquier archivo accesible para el UID del contenedor. La versión 0.27.5 corrige el problema.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.