Plateforme
go
Composant
gogs.io/gogs
Corrigé dans
0.14.1
0.13.5
0.13.4
La vulnérabilité CVE-2026-24135 est une faille de traversal de chemin (Path Traversal) découverte dans gogs.io/gogs, un logiciel de gestion de code source auto-hébergé. Cette faille permet à un attaquant de supprimer arbitrairement des fichiers sur le système. Elle affecte les versions de gogs.io/gogs antérieures à v0.13.4 et une correction est disponible.
Un attaquant exploitant avec succès cette vulnérabilité peut potentiellement supprimer des fichiers critiques sur le serveur gogs.io/gogs, compromettant ainsi l'intégrité du système et potentiellement la disponibilité du service. La suppression de fichiers de configuration ou de code source pourrait entraîner un dysfonctionnement du serveur ou une perte de données. Bien qu'il n'y ait pas de rapport d'exploitation publique connu, la nature de la faille de traversal de chemin la rend potentiellement exploitable par des acteurs malveillants disposant d'un accès non autorisé au système.
La vulnérabilité CVE-2026-24135 a été rendue publique le 17 février 2026. Il n'y a pas d'indication d'une présence sur le KEV (CISA Known Exploited Vulnerabilities) à ce jour. Il n'existe pas de preuves publiques d'exploitation active, mais la vulnérabilité est susceptible d'être exploitée par des acteurs malveillants. La description de la vulnérabilité mentionne des versions supplémentaires qui pourraient ne pas être automatiquement mappées aux versions Go, ce qui peut entraîner des faux positifs lors des analyses de vulnérabilité.
Self-hosted Gogs instances running versions prior to 0.13.4 are at risk. This includes organizations using Gogs for internal Git repositories and development teams relying on Gogs for code management. Shared hosting environments running Gogs are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / binary: Examine Gogs binary for suspicious file deletion functions called during wiki page update processing.
• linux / server: Monitor Gogs logs (typically in /var/log/gogs/) for unusual file deletion attempts, especially those involving paths outside of the intended wiki directory. Use journalctl -u gogs to filter relevant logs.
• generic web: Monitor web server access logs for requests to wiki update endpoints with unusual path parameters. Use curl -v <gogsurl>/<wikiupdate_endpoint> to test for path traversal.
disclosure
Statut de l'Exploit
EPSS
0.06% (percentile 17%)
CISA SSVC
La mitigation principale consiste à mettre à jour gogs.io/gogs vers la version corrigée v0.13.4 ou ultérieure. Si la mise à jour n'est pas immédiatement possible, examinez attentivement les permissions des fichiers et des répertoires sur le serveur gogs.io/gogs pour limiter l'impact potentiel d'une exploitation réussie. Il n'existe pas de règles WAF spécifiques connues pour cette vulnérabilité, mais une surveillance accrue des tentatives d'accès aux pages wiki pourrait aider à détecter une activité suspecte. Après la mise à jour, vérifiez l'intégrité du système en effectuant un test de base de la fonctionnalité de mise à jour des pages wiki.
Actualice Gogs a la versión 0.13.4 o superior. Alternativamente, actualice a la versión 0.14.0+dev o superior. Estas versiones contienen la corrección para la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-24135 is a Path Traversal vulnerability in Gogs affecting versions before 0.13.4, allowing attackers to delete arbitrary files.
If you are running Gogs versions prior to 0.13.4, you are potentially affected by this vulnerability.
Upgrade Gogs to version 0.13.4 or later to remediate the vulnerability. Restrict file system access for the Gogs process as a temporary measure.
As of now, there are no confirmed reports of active exploitation, but the potential for exploitation exists.
Refer to the Gogs security advisory for detailed information and updates: [https://github.com/gogs/gogs/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/gogs/gogs/security/advisories/GHSA-xxxx-xxxx-xxxx) (replace with actual advisory URL)
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.