CVE-2026-40884
CriticalSummary
goshs to prosty serwer HTTP napisany w Go. W wersjach przed 2.0.0-beta.6 występuje luka w autoryzacji SFTP, gdy używana jest dokumentowana składnia podstawowej autoryzacji z pustą nazwą użytkownika. Serwer uruchomiony z opcjami -b ':pass' oraz -sftp akceptuje tę konfigurację, ale nie instaluje żadnego handlera haseł SFTP.
Risk Assessment
W wyniku tej podatności, nieautoryzowany atakujący sieciowy może połączyć się z usługą SFTP i uzyskać dostęp do plików bez podawania hasła, co stwarza poważne zagrożenie dla bezpieczeństwa danych organizacji.
Recommendation
Zaleca się aktualizację goshs do wersji 2.0.0-beta.6 lub nowszej, aby usunąć tę lukę w zabezpieczeniach.
Original NVD description (English source)
goshs is a SimpleHTTPServer written in Go. Prior to 2.0.0-beta.6, goshs contains an SFTP authentication bypass when the documented empty-username basic-auth syntax is used. If the server is started with -b ':pass' together with -sftp, goshs accepts that configuration but does not install any SFTP password handler. As a result, an unauthenticated network attacker can connect to the SFTP service and access files without a password. This vulnerability is fixed in 2.0.0-beta.6.

