Plateforme
go
Composant
gogs.io/gogs
Corrigé dans
0.13.2
0.13.1
La vulnérabilité CVE-2024-55947 est une faille de traversal de chemin (Path Traversal) découverte dans l'API de mise à jour de fichiers de gogs.io/gogs. Cette faille permet à un attaquant non authentifié de lire des fichiers arbitraires sur le serveur, compromettant potentiellement des informations sensibles. Elle affecte les versions de gogs.io/gogs antérieures à la version 0.13.1. Une mise à jour vers la version 0.13.1 est disponible pour corriger cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité permet à un attaquant de contourner les contrôles d'accès et de lire des fichiers sensibles sur le serveur gogs.io/gogs. Cela peut inclure des fichiers de configuration, des bases de données, des clés API, ou tout autre fichier accessible par le processus gogs. L'attaquant pourrait ainsi obtenir des informations d'identification, des données confidentielles ou compromettre davantage le système. Bien qu'il n'y ait pas de rapport d'exploitation publique à ce jour, la nature de la vulnérabilité et sa facilité d'exploitation la rendent potentiellement dangereuse.
Cette vulnérabilité a été publiée le 7 janvier 2025. Elle n'est pas encore répertoriée sur le KEV de CISA, ni associée à des campagnes d'exploitation actives connues. Bien qu'il n'y ait pas de preuve d'exploitation publique, la simplicité de l'exploitation rend cette vulnérabilité préoccupante.
Organizations running self-hosted gogs.io/gogs instances, particularly those with publicly accessible file upload endpoints, are at risk. Environments with weak input validation or insufficient access controls are especially vulnerable.
• linux / server:
find /var/www/gogs -name '*gogs.io/gogs*' -type f -print0 | xargs -0 grep -i 'path..'• generic web:
curl -I 'http://your-gogs-server/update_file?path=../../../../etc/passwd' # Check for 200 OK response indicating successful accessdisclosure
Statut de l'Exploit
EPSS
79.35% (percentile 99%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour gogs.io/gogs vers la version 0.13.1 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant l'accès au répertoire de fichiers gogs via un pare-feu ou un système de contrôle d'accès. Il est également recommandé de surveiller les journaux d'accès pour détecter des tentatives d'accès suspectes aux fichiers. Vérifiez après la mise à jour que l'API de mise à jour de fichiers ne permet plus l'accès à des fichiers en dehors du répertoire prévu.
Actualice Gogs a la versión 0.13.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura de archivos arbitrarios en el servidor. La actualización previene el acceso SSH no autorizado al servidor.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2024-55947 is a Path Traversal vulnerability in gogs.io/gogs allowing attackers to read arbitrary files. It impacts versions before 0.13.1 and has a CVSS score of 8.8.
You are affected if you are running gogs.io/gogs versions prior to 0.13.1. Check your version and upgrade immediately.
Upgrade gogs.io/gogs to version 0.13.1 or later to patch the vulnerability. Consider temporary workarounds like restricting file upload locations if immediate upgrade is not possible.
As of 2025-01-07, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Refer to the official gogs.io/gogs release notes and security advisories on their website for details and updates.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.