HIGHCVE-2024-55947CVSS 8.8

gogs.io/gogs 内のファイル更新 API における Path Traversal

Q: CVE-2024-55947 — パストラバーザル脆弱性とはgogs.io/gogsですか？

CVE-2024-55947は、gogs.io/gogsのファイル更新APIにおけるパストラバーザル脆弱性です。攻撃者はこの脆弱性を悪用して、システム上の任意のファイルにアクセスする可能性があります。

Q: CVE-2024-55947でgogs.io/gogsを使用していますか？

gogs.io/gogsのすべてのバージョンが影響を受けます。バージョン0.13.1にアップデートすることで脆弱性が修正されます。

Q: CVE-2024-55947でgogs.io/gogsを修正するにはどうすればよいですか？

gogs.io/gogsをバージョン0.13.1にアップデートしてください。アップデートがすぐに実行できない場合は、WAFルールを実装するか、ファイルアップロードの検証を強化してください。

Q: CVE-2024-55947は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、今後悪用される可能性があります。

Q: CVE-2024-55947のgogs.io/gogsの公式アドバイザリはどこで入手できますか？

gogs.io/gogsの公式アドバイザリは、gogs.io/gogsのウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

コンポーネント

gogs.io/gogs

修正版

0.13.2

0.13.1

AI Confidence: highNVDEPSS 79.3%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2024-55947は、gogs.io/gogsのファイル更新APIにおいて、パストラバーザル脆弱性が存在します。この脆弱性を悪用されると、攻撃者はシステム上の機密ファイルにアクセスし、不正な操作を実行する可能性があります。影響を受けるバージョンはgogs.io/gogsのすべてのバージョンです。脆弱性は0.13.1へのアップデートで修正されています。

影響と攻撃シナリオ

このパストラバーザル脆弱性は、攻撃者がgogs.io/gogsのファイル更新APIを介して、システム上の任意のファイルにアクセスすることを可能にします。攻撃者は、この脆弱性を悪用して、ソースコード、設定ファイル、データベースファイルなどの機密情報を盗み出す可能性があります。さらに、攻撃者はこのアクセス権を悪用して、システム上で任意のコードを実行したり、他のシステムに侵入するための足がかりにしたりする可能性があります。この脆弱性は、特にファイルストレージやバージョン管理システムをホストするサーバーにとって深刻な脅威となります。

悪用の状況

CVE-2024-55947は、2025年1月7日に公開されました。現時点では、この脆弱性を悪用した公開されているPoCは確認されていませんが、パストラバーザル脆弱性は一般的に悪用が容易であり、今後悪用される可能性があります。CISA KEVカタログへの登録状況は不明です。攻撃者は、この脆弱性を悪用して、機密情報を盗み出す、システムを乗っ取る、または他のシステムに侵入する可能性があります。

リスク対象者翻訳中…

Organizations running self-hosted gogs.io/gogs instances, particularly those with publicly accessible file upload endpoints, are at risk. Environments with weak input validation or insufficient access controls are especially vulnerable.

検出手順翻訳中…

• linux / server:

find /var/www/gogs -name '*gogs.io/gogs*' -type f -print0 | xargs -0 grep -i 'path..'

• generic web:

curl -I 'http://your-gogs-server/update_file?path=../../../../etc/passwd' # Check for 200 OK response indicating successful access

攻撃タイムライン

2025-01-07Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

EPSS

79.35% (99% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能yes

技術的影響partial

CVSS ベクトル

影響を受けるソフトウェア

コンポーネントgogs.io/gogs

ベンダーosv

影響範囲修正版

< 0.13.1 – < 0.13.10.13.2

—0.13.1

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2024-12-13
公開日2025-01-07
更新日2026-03-03
EPSS 更新日2026-04-02

緩和策と回避策

この脆弱性への最も効果的な対策は、gogs.io/gogsをバージョン0.13.1にアップデートすることです。アップデートがすぐに実行できない場合は、ファイル更新APIへのアクセスを制限するWAFルールを実装するか、ファイルアップロードの検証を強化することで、攻撃のリスクを軽減できます。また、ファイルアップロードディレクトリのアクセス権を制限し、不要なファイルへのアクセスを防止することも有効です。アップデート後、ファイル更新APIへのアクセスをテストし、脆弱性が修正されていることを確認してください。

修正方法翻訳中…

Actualice Gogs a la versión 0.13.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura de archivos arbitrarios en el servidor. La actualización previene el acceso SSH no autorizado al servidor.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2024-55947 — パストラバーザル脆弱性とはgogs.io/gogsですか？