CVE-2026-33528 in godoxyinformación

Resumen

por VulDB • 2026-05-15

GoDoxy es un proxy inverso y un orquestador de contenedores para autoalojamiento. Antes de la versión 0.27.5, el punto de conexión de la API de contenido de archivos en `/api/v1/file/content` es vulnerable a una traversía de rutas (path traversal). El parámetro de consulta `filename` se pasa directamente a `path.Join(common.ConfigBasePath, filename)`, donde `ConfigBasePath = "config"` (una ruta relativa). No se aplica ninguna sanitización ni validación más allá de comprobar que el campo no esté vacío (`binding:"required"`). Un atacante autenticado puede utilizar secuencias `../` para leer o escribir archivos fuera del directorio `config/` previsto, incluidas las claves privadas TLS, los tokens de actualización de OAuth y cualquier archivo accesible para el UID del contenedor. La versión 0.27.5 corrige el problema.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Responsable

GitHub M

Reservar

2026-03-20

Divulgación

2026-03-26

Moderación

aceptado

Artículo

VDB-353737

CPE

listo

EPSS

0.00502

KEV

no

Actividades

muy bajo

Fuentes

Want to know what is going to be exploited?

We predict KEV entries!