CVE-2026-33528 in godoxy
Riassunto
di VulDB • 15/06/2026
GoDoxy è un reverse proxy e orchestratore di contenitori per utenti che gestiscono servizi in self-hosting. Prima della versione 0.27.5, l'endpoint dell'API `/api/v1/file/content` relativo al contenuto dei file è vulnerabile a path traversal (scavalcamento delle directory). Il parametro query `filename` viene passato direttamente alla funzione `path.Join(common.ConfigBasePath, filename)`, dove `ConfigBasePath = "config"` (un percorso relativo). Non vengono applicate né sanitizzazione né validazione oltre al controllo che il campo non sia vuoto (`binding:"required"`). Un attaccante autenticato può utilizzare sequenze di caratteri `../` per leggere o scrivere file esterni alla directory `config/` prevista, incluse le chiavi private TLS, i token di aggiornamento OAuth e qualsiasi file accessibile all'UID del contenitore. La versione 0.27.5 risolve il problema.
If you want to get best quality of vulnerability data, you may have to visit VulDB.