CVE-2026-33528 in godoxy정보

요약

\~에 의해 VulDB • 2026. 05. 25.

GoDoxy는 자체 호스팅 사용자를 위한 리버스 프록시 및 컨테이너 오케스트레이터입니다. 버전 0.27.5 이전의 경우, `/api/v1/file/content` 파일 콘텐츠 API 엔드포인트에서 경로 순회(Path Traversal) 취약점이 존재합니다. `filename` 쿼리 파라미터는 `ConfigBasePath = "config"`(상대 경로)와 함께 `path.Join(common.ConfigBasePath, filename)`에 직접 전달됩니다. 해당 필드가 비어 있지 않은지 확인(`binding:"required"`)하는 것 외에는 추가적인 정제(Sanitization)나 검증이 적용되지 않습니다. 인증된 공격자는 `../` 시퀀스를 사용하여 의도된 `config/` 디렉토리 외부의 파일, 예를 들어 TLS 개인 키, OAuth 리프레시 토큰, 그리고 컨테이너 UID가 접근 가능한 모든 파일을 읽거나 쓸 수 있습니다. 버전 0.27.5에서 이 문제가 수정되었습니다.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

책임이 있는

GitHub M

예약하다

2026. 03. 20.

모더레이션

수락

항목

VDB-353737

EPSS

0.00502

출처

Do you want to use VulDB in your project?

Use the official API to access entries easily!