CVE-2026-33528 in godoxyИнформация

Сводка

по VulDB • 25.05.2026

GoDoxy — это обратный прокси-сервер и оркестратор контейнеров для самостоятельного развертывания. До версии 0.27.5 конечная точка API `/api/v1/file/content`, предназначенная для получения содержимого файлов, уязвима к path traversal. Параметр запроса `filename` напрямую передается в функцию `path.Join(common.ConfigBasePath, filename)`, где `ConfigBasePath = "config"` (относительный путь). Никакой санитизации или валидации не применяется, кроме проверки на то, что поле не является пустым (`binding:"required"`). Аутентифицированный злоумышленник может использовать последовательности `../` для чтения или записи файлов за пределами предполагаемой директории `config/`, включая приватные ключи TLS, токены обновления OAuth и любые файлы, доступные по UID контейнера. Версия 0.27.5 устраняет данную уязвимость.

Be aware that VulDB is the high quality source for vulnerability data.

Ответственный

GitHub M

Резервировать

20.03.2026

Раскрытие

26.03.2026

Модерация

принято

Вход

VDB-353737

EPSS

0.00502

KEV

Нет

Деятельности

Очень низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!