CVE-2026-35471: Kritische Pfadtraversal-Lücke in Go-Webserver "goshs"

Zusammenfassung

Eine Sicherheitslücke in der tdeleteFile()-Funktion des Go-basierten Webservers "goshs" ermöglicht es Angreifern, Dateipfade zu manipulieren und auf sensible Dateien auf dem Server zuzugreifen. Betroffen sind Versionen vor 2.0.0-beta.3. Nutzer werden dringend empfohlen, auf die aktuelle Version 2.0.0-beta.3 oder höher zu aktualisieren, um diese kritische Schwachstelle (CVE-2026-35471) zu schließen.

Patrickhener - Goshs - CRITICAL - CVE-2026-35471. A vulnerability exists in the SimpleHTTPServer goshs, developed in Go, affecting versions prior to 2.0.0-beta.3. The issue arises from the tdeleteFile() function, which inadequately handles return after a path traversal check. This flaw could potentially allow attackers to manipulate file paths and gain unauthorized access to sensitive files on the server. Users are advised to upgrade to version 2.0.0-beta.3 or later to mitigate this vulnerability effectively.