प्लेटफ़ॉर्म
go
घटक
gogs.io/gogs
में ठीक किया गया
0.14.1
0.13.5
0.13.4
CVE-2026-24135 एक पथ पारगमन भेद्यता है जो gogs.io/gogs में पाई गई है, विशेष रूप से विकि पृष्ठ अपडेट कार्यक्षमता में। यह भेद्यता हमलावरों को मनमाने ढंग से फ़ाइलों को हटाने की अनुमति दे सकती है, जिससे सिस्टम की सुरक्षा से समझौता हो सकता है। यह भेद्यता gogs.io/gogs के 0.13.4 से पहले के संस्करणों को प्रभावित करती है। इस समस्या को हल करने के लिए, 0.13.4 या बाद के संस्करण में अपडेट करने की सिफारिश की जाती है।
यह भेद्यता हमलावरों को gogs.io/gogs इंस्टॉलेशन पर मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है। हमलावर विकि पृष्ठ अपडेट कार्यक्षमता का उपयोग करके पथ पारगमन का फायदा उठा सकते हैं, जिससे वे सिस्टम फ़ाइलों तक पहुँच सकते हैं और उन्हें हटा सकते हैं। इससे सेवा में व्यवधान, डेटा हानि और संभावित रूप से सिस्टम पर पूर्ण नियंत्रण हो सकता है। इस भेद्यता का उपयोग करके, हमलावर संवेदनशील जानकारी तक पहुँच सकते हैं या सिस्टम को दुर्भावनापूर्ण उद्देश्यों के लिए समझौता कर सकते हैं। यह भेद्यता अन्य पथ पारगमन भेद्यताओं के समान है, जहाँ हमलावर निर्देशिकाओं को पार करने के लिए '..' अनुक्रम का उपयोग करते हैं।
CVE-2026-24135 को अभी तक सक्रिय रूप से शोषण करने के बारे में कोई सार्वजनिक जानकारी नहीं है। यह CISA KEV सूची में शामिल नहीं है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक ज्ञात नहीं हैं। NVD और CISA ने इस CVE के लिए प्रकाशन तिथि 2026-02-17 बताई है।
Self-hosted Gogs instances running versions prior to 0.13.4 are at risk. This includes organizations using Gogs for internal Git repositories and development teams relying on Gogs for code management. Shared hosting environments running Gogs are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / binary: Examine Gogs binary for suspicious file deletion functions called during wiki page update processing.
• linux / server: Monitor Gogs logs (typically in /var/log/gogs/) for unusual file deletion attempts, especially those involving paths outside of the intended wiki directory. Use journalctl -u gogs to filter relevant logs.
• generic web: Monitor web server access logs for requests to wiki update endpoints with unusual path parameters. Use curl -v <gogsurl>/<wikiupdate_endpoint> to test for path traversal.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.06% (17% शतमक)
CISA SSVC
CVE-2026-24135 को कम करने के लिए, gogs.io/gogs को 0.13.4 या बाद के संस्करण में तुरंत अपडेट करना महत्वपूर्ण है। यदि अपडेट करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, फ़ाइल सिस्टम अनुमतियों को सख्त करना और विकि पृष्ठ अपडेट कार्यक्षमता तक पहुँच को सीमित करना शामिल हो सकता है। वेब एप्लिकेशन फ़ायरवॉल (WAF) नियमों को लागू करना जो पथ पारगमन प्रयासों का पता लगाते हैं और उन्हें अवरुद्ध करते हैं, भी एक अतिरिक्त सुरक्षा परत प्रदान कर सकता है। अपडेट के बाद, यह सत्यापित करें कि भेद्यता ठीक हो गई है, विकि पृष्ठ अपडेट कार्यक्षमता के माध्यम से मनमानी फ़ाइल हटाने के प्रयासों का परीक्षण करके।
Actualice Gogs a la versión 0.13.4 o superior. Alternativamente, actualice a la versión 0.14.0+dev o superior. Estas versiones contienen la corrección para la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-24135 gogs.io/gogs में विकि पृष्ठ अपडेट कार्यक्षमता में एक पथ पारगमन भेद्यता है, जो हमलावरों को मनमाने ढंग से फ़ाइलों को हटाने की अनुमति देती है।
यदि आप gogs.io/gogs के 0.13.4 से पहले का संस्करण चला रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
CVE-2026-24135 को ठीक करने के लिए, gogs.io/gogs को 0.13.4 या बाद के संस्करण में अपडेट करें।
CVE-2026-24135 के सक्रिय शोषण के बारे में अभी तक कोई सार्वजनिक जानकारी नहीं है।
gogs.io/gogs के लिए आधिकारिक सलाहकार gogs.io पर उपलब्ध है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।
अपनी go.mod फ़ाइल अपलोड करें और तुरंत जानें कि आप प्रभावित हैं या नहीं।