CVE-2025-46816
CriticalSummary
goshs to prosty serwer HTTP napisany w Go. W wersjach od 0.3.4 do przed 1.0.5, uruchomienie goshs bez argumentów umożliwia każdemu wykonywanie poleceń na serwerze, ponieważ funkcja `dispatchReadPump` nie sprawdza opcji cli `-c`.
Risk Assessment
Ryzyko polega na tym, że nieautoryzowani użytkownicy mogą wykonywać dowolne polecenia na serwerze, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Recommendation
Zaleca się aktualizację goshs do wersji 1.0.5 lub nowszej, aby usunąć tę podatność oraz ograniczenie dostępu do serwera tylko dla zaufanych użytkowników.
Original NVD description (English source)
goshs is a SimpleHTTPServer written in Go. Starting in version 0.3.4 and prior to version 1.0.5, running goshs without arguments makes it possible for anyone to execute commands on the server. The function `dispatchReadPump` does not checks the option cli `-c`, thus allowing anyone to execute arbitrary command through the use of websockets. Version 1.0.5 fixes the issue.

