CVE-2025-46816
KrytyczneStreszczenie
goshs to prosty serwer HTTP napisany w Go. W wersjach od 0.3.4 do przed 1.0.5, uruchomienie goshs bez argumentów umożliwia każdemu wykonywanie poleceń na serwerze, ponieważ funkcja `dispatchReadPump` nie sprawdza opcji cli `-c`.
Ocena ryzyka
Ryzyko polega na tym, że nieautoryzowani użytkownicy mogą wykonywać dowolne polecenia na serwerze, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.
Rekomendacja
Zaleca się aktualizację goshs do wersji 1.0.5 lub nowszej, aby usunąć tę podatność oraz ograniczenie dostępu do serwera tylko dla zaufanych użytkowników.
Oryginalny opis (angielski, źródło NVD)
goshs is a SimpleHTTPServer written in Go. Starting in version 0.3.4 and prior to version 1.0.5, running goshs without arguments makes it possible for anyone to execute commands on the server. The function `dispatchReadPump` does not checks the option cli `-c`, thus allowing anyone to execute arbitrary command through the use of websockets. Version 1.0.5 fixes the issue.

