प्लेटफ़ॉर्म
go
घटक
gogs.io/gogs
में ठीक किया गया
0.13.2
0.13.1
CVE-2024-55947 gogs.io/gogs में एक पथ पारगमन भेद्यता है। यह भेद्यता हमलावरों को अनधिकृत रूप से सिस्टम पर फ़ाइलों तक पहुँचने और उन्हें पढ़ने की अनुमति दे सकती है। प्रभावित संस्करण 0.13.1 से पहले के हैं। 2025-01-07 को प्रकाशित, इस भेद्यता को 0.13.1 में अपग्रेड करके या अस्थायी सुरक्षा उपायों को लागू करके कम किया जा सकता है।
यह पथ पारगमन भेद्यता gogs.io/gogs इंस्टेंस को गंभीर जोखिम में डालती है। एक हमलावर इस भेद्यता का फायदा उठाकर सिस्टम पर मनमाने फ़ाइलों तक पहुँच सकता है, जिसमें कॉन्फ़िगरेशन फ़ाइलें, स्रोत कोड और संवेदनशील डेटा शामिल हो सकते हैं। यह डेटा चोरी, सिस्टम समझौता या सेवा से इनकार का कारण बन सकता है। इस भेद्यता का उपयोग करके, हमलावर संभावित रूप से अन्य सिस्टम तक पहुँच प्राप्त कर सकते हैं यदि gogs.io/gogs इंस्टेंस नेटवर्क पर अन्य संसाधनों के साथ इंटरैक्ट करता है।
CVE-2024-55947 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसकी उच्च CVSS स्कोर (8.8) इंगित करती है कि इसका शोषण किया जा सकता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) मौजूद नहीं हैं, लेकिन भेद्यता की प्रकृति इसे शोषण के लिए अतिसंवेदनशील बनाती है। CISA ने इस CVE को अपनी ज्ञात भेद्यता सूची (KEV) में शामिल नहीं किया है।
Organizations running self-hosted gogs.io/gogs instances, particularly those with publicly accessible file upload endpoints, are at risk. Environments with weak input validation or insufficient access controls are especially vulnerable.
• linux / server:
find /var/www/gogs -name '*gogs.io/gogs*' -type f -print0 | xargs -0 grep -i 'path..'• generic web:
curl -I 'http://your-gogs-server/update_file?path=../../../../etc/passwd' # Check for 200 OK response indicating successful accessdisclosure
एक्सप्लॉइट स्थिति
EPSS
79.35% (99% शतमक)
CISA SSVC
CVSS वेक्टर
CVE-2024-55947 के प्रभाव को कम करने के लिए, gogs.io/gogs को संस्करण 0.13.1 या बाद के संस्करण में तुरंत अपग्रेड करना महत्वपूर्ण है। यदि अपग्रेड संभव नहीं है, तो एक वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू किया जा सकता है ताकि पथ पारगमन हमलों को रोका जा सके। WAF नियमों को उन अनुरोधों को ब्लॉक करने के लिए कॉन्फ़िगर किया जाना चाहिए जिनमें फ़ाइल पथ में असामान्य वर्ण या अनुक्रम शामिल हैं। इसके अतिरिक्त, फ़ाइल सिस्टम अनुमतियों को कड़ा किया जाना चाहिए ताकि केवल अधिकृत उपयोगकर्ताओं को संवेदनशील फ़ाइलों तक पहुँच प्राप्त हो। अपग्रेड के बाद, यह सुनिश्चित करने के लिए फ़ाइल सिस्टम अनुमतियों की जाँच करें कि वे सही ढंग से कॉन्फ़िगर की गई हैं।
Actualice Gogs a la versión 0.13.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura de archivos arbitrarios en el servidor. La actualización previene el acceso SSH no autorizado al servidor.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2024-55947 gogs.io/gogs में एक भेद्यता है जो हमलावरों को मनमाने फ़ाइलों तक पहुँचने की अनुमति देती है। CVSS स्कोर 8.8 (उच्च) है।
यदि आप gogs.io/gogs के संस्करण 0.13.1 से पहले का उपयोग कर रहे हैं, तो आप प्रभावित हैं।
gogs.io/gogs को संस्करण 0.13.1 या बाद के संस्करण में अपग्रेड करें। यदि अपग्रेड संभव नहीं है, तो WAF नियमों का उपयोग करें।
CVE-2024-55947 को अभी तक सक्रिय रूप से शोषण करने के लिए नहीं जाना जाता है, लेकिन इसका शोषण किया जा सकता है।
gogs.io/gogs की वेबसाइट पर आधिकारिक सलाहकार की जाँच करें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।