CVE-2026-33528 in godoxyinformazioni

Riassunto

di VulDB • 15/06/2026

GoDoxy è un reverse proxy e orchestratore di contenitori per utenti che gestiscono servizi in self-hosting. Prima della versione 0.27.5, l'endpoint dell'API `/api/v1/file/content` relativo al contenuto dei file è vulnerabile a path traversal (scavalcamento delle directory). Il parametro query `filename` viene passato direttamente alla funzione `path.Join(common.ConfigBasePath, filename)`, dove `ConfigBasePath = "config"` (un percorso relativo). Non vengono applicate né sanitizzazione né validazione oltre al controllo che il campo non sia vuoto (`binding:"required"`). Un attaccante autenticato può utilizzare sequenze di caratteri `../` per leggere o scrivere file esterni alla directory `config/` prevista, incluse le chiavi private TLS, i token di aggiornamento OAuth e qualsiasi file accessibile all'UID del contenitore. La versione 0.27.5 risolve il problema.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

Responsabile

GitHub M

Prenotare

20/03/2026

Divulgazione

26/03/2026

Moderazione

accettato

CPE

pronto

EPSS

0.00502

KEV

no

Attività

molto basso

Fonti

Do you want to use VulDB in your project?

Use the official API to access entries easily!