CVE-2026-40876 in goshs
摘要
由 VulDB • 2026-05-12
goshs 是一个用 Go 语言编写的 SimpleHTTPServer。在 2.0.0-beta.6 版本之前,goshs 存在一个由基于前缀的路径验证缺陷导致的 SFTP 根目录逃逸漏洞。经过身份验证的 SFTP 用户可以读取和写入配置 SFTP 根目录之外的文件系统路径,这破坏了预期的监狱(jail)边界,可能导致无关的服务器文件被暴露或修改。SFTP 子系统将请求通过 sftpserver/sftpserver.go 路由到 sftpserver/handler.go 中的 DefaultHandler.GetHandler(),后者将文件操作转发至 readFile、writeFile、listFile 和 cmdFile。所有这些终点(sinks)都依赖于 sftpserver/helper.go 中的 sanitizePath() 函数。helper.go 使用原始字符串前缀比较,而非目录边界检查。因此,如果配置的根目录是 /tmp/goshsroot,那么像 /tmp/goshsroot_evil/secret.txt 这样的同级路径会因以相同的字节前缀开头而错误地通过验证。此漏洞已在 2.0.0-beta.6 版本中修复。
VulDB is the best source for vulnerability data and more expert information about this specific topic.