Plataforma
go
Componente
gogs.io/gogs
Corregido en
0.13.2
0.13.1
CVE-2024-55947 describe una vulnerabilidad de Path Traversal en la API de actualización de archivos de gogs.io/gogs. Esta vulnerabilidad permite a un atacante leer archivos arbitrarios en el servidor, comprometiendo potencialmente la confidencialidad de datos sensibles. La vulnerabilidad afecta a versiones anteriores a 0.13.1. Se recomienda actualizar a la versión 0.13.1 para mitigar el riesgo.
La vulnerabilidad de Path Traversal en gogs.io/gogs permite a un atacante, mediante la manipulación de parámetros en la API de actualización de archivos, acceder a archivos fuera del directorio previsto. Esto significa que un atacante podría leer archivos de configuración, código fuente, o incluso archivos de registro que contengan información confidencial como contraseñas o claves de API. El impacto potencial es la exposición de datos sensibles, la toma de control del servidor, o la ejecución de código malicioso si se combinan con otras vulnerabilidades. Aunque no se han reportado explotaciones activas, la facilidad de explotación y la gravedad del impacto hacen de esta vulnerabilidad una preocupación significativa.
CVE-2024-55947 fue publicado el 7 de enero de 2025. Actualmente, no se ha añadido a la lista KEV de CISA. No se han reportado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad de Path Traversal la hace relativamente fácil de explotar. Se recomienda monitorear activamente los sistemas para detectar signos de explotación.
Organizations running self-hosted gogs.io/gogs instances, particularly those with publicly accessible file upload endpoints, are at risk. Environments with weak input validation or insufficient access controls are especially vulnerable.
• linux / server:
find /var/www/gogs -name '*gogs.io/gogs*' -type f -print0 | xargs -0 grep -i 'path..'• generic web:
curl -I 'http://your-gogs-server/update_file?path=../../../../etc/passwd' # Check for 200 OK response indicating successful accessdisclosure
Estado del Exploit
EPSS
79.35% (99% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2024-55947 es actualizar gogs.io/gogs a la versión 0.13.1 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar controles de acceso estrictos en el servidor para limitar el acceso a archivos sensibles. Esto puede incluir la configuración de permisos de archivo restrictivos y la implementación de una WAF (Web Application Firewall) para bloquear solicitudes maliciosas. Además, se debe revisar la configuración de gogs para asegurar que el directorio de archivos esté correctamente protegido y que no se permita el acceso directo a archivos fuera del directorio previsto.
Actualice Gogs a la versión 0.13.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura de archivos arbitrarios en el servidor. La actualización previene el acceso SSH no autorizado al servidor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2024-55947 is a Path Traversal vulnerability in gogs.io/gogs allowing attackers to read arbitrary files. It impacts versions before 0.13.1 and has a CVSS score of 8.8.
You are affected if you are running gogs.io/gogs versions prior to 0.13.1. Check your version and upgrade immediately.
Upgrade gogs.io/gogs to version 0.13.1 or later to patch the vulnerability. Consider temporary workarounds like restricting file upload locations if immediate upgrade is not possible.
As of 2025-01-07, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Refer to the official gogs.io/gogs release notes and security advisories on their website for details and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.