Plataforma
go
Componente
gogs.io/gogs
Corregido en
0.14.1
0.13.5
0.13.4
CVE-2026-24135 describe una vulnerabilidad de Path Traversal en gogs.io/gogs, permitiendo la eliminación arbitraria de archivos. Esta falla se encuentra en el proceso de actualización de páginas wiki dentro de la aplicación. Las versiones afectadas son aquellas anteriores a v0.13.4. Se recomienda actualizar a la versión 0.13.4 para corregir esta vulnerabilidad.
Un atacante podría explotar esta vulnerabilidad para eliminar archivos críticos del sistema, comprometiendo la integridad y disponibilidad de la instancia de Gogs. La eliminación de archivos de configuración o archivos de base de datos podría resultar en la interrupción del servicio o incluso en la pérdida de datos. La naturaleza de Path Traversal permite a un atacante manipular la ruta del archivo para acceder a ubicaciones fuera del directorio previsto, lo que amplía el potencial de daño. Si bien no se han reportado explotaciones activas, la facilidad de explotación hace que esta vulnerabilidad sea un riesgo significativo.
El CVE-2026-24135 fue publicado el 2026-02-17. No se ha añadido a KEV ni se ha identificado una puntuación EPSS. Actualmente no se conocen pruebas de concepto (PoC) públicas, pero la naturaleza de Path Traversal sugiere que podrían desarrollarse fácilmente. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad relacionada con esta vulnerabilidad.
Self-hosted Gogs instances running versions prior to 0.13.4 are at risk. This includes organizations using Gogs for internal Git repositories and development teams relying on Gogs for code management. Shared hosting environments running Gogs are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / binary: Examine Gogs binary for suspicious file deletion functions called during wiki page update processing.
• linux / server: Monitor Gogs logs (typically in /var/log/gogs/) for unusual file deletion attempts, especially those involving paths outside of the intended wiki directory. Use journalctl -u gogs to filter relevant logs.
• generic web: Monitor web server access logs for requests to wiki update endpoints with unusual path parameters. Use curl -v <gogsurl>/<wikiupdate_endpoint> to test for path traversal.
disclosure
Estado del Exploit
EPSS
0.06% (17% percentil)
CISA SSVC
La mitigación principal para CVE-2026-24135 es actualizar la instancia de Gogs a la versión 0.13.4 o superior. Si la actualización inmediata no es posible, se recomienda revisar cuidadosamente los permisos de los archivos y directorios para limitar el acceso no autorizado. Implementar una WAF (Web Application Firewall) con reglas que bloqueen solicitudes con secuencias de caracteres sospechosas (como '..') puede proporcionar una capa adicional de protección. Monitorear los registros de la aplicación en busca de patrones inusuales de acceso a archivos también puede ayudar a detectar intentos de explotación.
Actualice Gogs a la versión 0.13.4 o superior. Alternativamente, actualice a la versión 0.14.0+dev o superior. Estas versiones contienen la corrección para la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-24135 is a Path Traversal vulnerability in Gogs affecting versions before 0.13.4, allowing attackers to delete arbitrary files.
If you are running Gogs versions prior to 0.13.4, you are potentially affected by this vulnerability.
Upgrade Gogs to version 0.13.4 or later to remediate the vulnerability. Restrict file system access for the Gogs process as a temporary measure.
As of now, there are no confirmed reports of active exploitation, but the potential for exploitation exists.
Refer to the Gogs security advisory for detailed information and updates: [https://github.com/gogs/gogs/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/gogs/gogs/security/advisories/GHSA-xxxx-xxxx-xxxx) (replace with actual advisory URL)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.