Plataforma
go
Componente
gogs.io/gogs
Corregido en
0.12.9
0.12.9
CVE-2022-1992 describe una vulnerabilidad de recorrido de ruta crítica en el editor de archivos de Gogs, una plataforma de auto-hospedaje de Git. Esta falla permite a atacantes acceder a archivos arbitrarios en el sistema de archivos del servidor, comprometiendo potencialmente la confidencialidad de datos sensibles. La vulnerabilidad afecta a versiones de Gogs anteriores a 0.12.9, y se recomienda actualizar a la versión corregida para mitigar el riesgo.
La vulnerabilidad de recorrido de ruta permite a un atacante, con acceso al editor de archivos de Gogs, leer archivos arbitrarios en el sistema de archivos del servidor. Esto podría incluir archivos de configuración, claves privadas, código fuente o datos de usuario. Un atacante podría, por ejemplo, acceder a archivos de base de datos o claves SSH, lo que permitiría el acceso no autorizado a otros sistemas. El impacto potencial es significativo, pudiendo resultar en la divulgación de información confidencial, la toma de control del servidor o el acceso a otros recursos de la red. Aunque no se han reportado explotaciones públicas, la severidad crítica de la vulnerabilidad sugiere un alto riesgo de explotación si no se aborda.
CVE-2022-1992 fue publicado el 21 de agosto de 2024. Actualmente no se conoce una explotación pública activa, pero la alta puntuación CVSS (9.1) indica un riesgo significativo. No se ha añadido a la lista KEV de CISA al momento de esta redacción. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Organizations running self-hosted Gogs instances, particularly those with sensitive code or data stored in Git repositories, are at risk. Environments with weak access controls or legacy configurations are especially vulnerable. Shared hosting environments where multiple users share a Gogs instance also face increased risk.
• linux / server: Monitor Gogs logs for unusual file access attempts. Use auditd to track file access events and look for patterns indicative of path traversal.
auditctl -w /path/to/gogs/files -p wa -k gogs_traversal• windows / supply-chain: Monitor PowerShell execution logs for commands attempting to access files outside the Gogs installation directory. Check Autoruns for any suspicious entries related to Gogs.
• generic web: Attempt to access files outside the expected directory through the file editor interface. Examine web server access logs for requests containing directory traversal sequences (e.g., ../).
disclosure
Estado del Exploit
EPSS
1.69% (82% percentil)
Vector CVSS
La mitigación principal para CVE-2022-1992 es actualizar Gogs a la versión 0.12.9 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos en el sistema de archivos del servidor para limitar el acceso al editor de archivos. Además, se pueden configurar reglas en un firewall de aplicaciones web (WAF) para bloquear solicitudes que intenten acceder a archivos fuera del directorio esperado. Monitorear los registros del servidor en busca de patrones de acceso inusuales también puede ayudar a detectar intentos de explotación.
Actualice Gogs a la versión 0.12.9 o posterior. Esta versión contiene la corrección para la vulnerabilidad de recorrido de ruta. La actualización se puede realizar descargando la nueva versión y siguiendo las instrucciones de actualización proporcionadas por Gogs.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-1992 es una vulnerabilidad de recorrido de ruta crítica en el editor de archivos de Gogs que permite a los atacantes acceder a archivos arbitrarios en el servidor.
Si está utilizando una versión de Gogs anterior a 0.12.9, es vulnerable a esta vulnerabilidad. Actualice a la última versión para corregir el problema.
La solución es actualizar Gogs a la versión 0.12.9 o superior. Si la actualización no es posible, implemente controles de acceso estrictos.
Aunque no se han reportado explotaciones públicas, la alta puntuación CVSS sugiere un riesgo significativo. Monitoree las fuentes de inteligencia de amenazas.
Consulte el sitio web oficial de Gogs o su repositorio de GitHub para obtener información y avisos relacionados con CVE-2022-1992.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.