HIGHCVE-2026-24135CVSS 7.5

Gogsにおいて、wikiページの更新におけるPath Traversalにより、任意のファイルの削除が可能

Q: CVE-2026-24135 — Path Traversal in gogs.io/gogsとは何ですか？

CVE-2026-24135は、gogs.io/gogsのWikiページの更新機能におけるPath Traversal脆弱性です。攻撃者はこの脆弱性を悪用して、任意のファイルを削除する可能性があります。

Q: CVE-2026-24135 in gogs.io/gogsの影響はありますか？

gogs.io/gogsのv0.13.4より前のバージョンを使用している場合は、影響を受ける可能性があります。Wiki機能を利用している環境では、特に注意が必要です。

Q: CVE-2026-24135 in gogs.io/gogsを修正するにはどうすればよいですか？

gogs.io/gogsをv0.13.4以降のバージョンにアップデートすることで、この脆弱性を修正できます。アップデートが困難な場合は、Wikiページの更新機能へのアクセスを制限するなどの対策を講じてください。

Q: CVE-2026-24135に関するgogs.io/gogsの公式アドバイザリはどこで入手できますか？

gogs.io/gogsの公式アドバイザリは、gogsの公式ウェブサイトまたはGitHubリポジトリで確認できます。

プラットフォーム

コンポーネント

gogs.io/gogs

修正版

0.14.1

0.13.5

0.13.4

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-24135は、gogs.io/gogsにおけるPath Traversal脆弱性です。この脆弱性を悪用されると、攻撃者はWikiページの更新機能を介して任意のファイルを削除する可能性があります。影響を受けるバージョンはv0.13.4より前のgogs.io/gogsです。v0.13.4へのアップデートによりこの脆弱性は修正されています。

影響と攻撃シナリオ

このPath Traversal脆弱性は、攻撃者がgogsインスタンス上の任意のファイルを削除することを可能にします。Wikiページの更新機能を利用し、不正なファイルパスを送信することで、システムファイルや設定ファイルなど、機密情報を含むファイルを削除されるリスクがあります。攻撃者は、削除されたファイルによって引き起こされるサービス停止や、データの損失、さらにはシステム全体の制御を奪うことを目指す可能性があります。この脆弱性の悪用は、gogsインスタンスの完全な侵害につながる可能性があります。

悪用の状況

この脆弱性は2026年2月17日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は確認されていませんが、Path Traversal脆弱性は一般的に悪用されやすい脆弱性であるため、注意が必要です。公開されているPoCは確認されていません。CISA KEVリストへの登録状況は不明です。

リスク対象者翻訳中…

Self-hosted Gogs instances running versions prior to 0.13.4 are at risk. This includes organizations using Gogs for internal Git repositories and development teams relying on Gogs for code management. Shared hosting environments running Gogs are particularly vulnerable due to the potential for cross-tenant exploitation.

検出手順翻訳中…

• go / binary: Examine Gogs binary for suspicious file deletion functions called during wiki page update processing. • linux / server: Monitor Gogs logs (typically in /var/log/gogs/) for unusual file deletion attempts, especially those involving paths outside of the intended wiki directory. Use journalctl -u gogs to filter relevant logs. • generic web: Monitor web server access logs for requests to wiki update endpoints with unusual path parameters. Use curl -v <gogsurl>/<wikiupdate_endpoint> to test for path traversal.

攻撃タイムライン

2026-02-17Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

EPSS

0.06% (17% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響partial

影響を受けるソフトウェア

コンポーネントgogs.io/gogs

ベンダーosv

影響範囲修正版

< 0.14.0+dev – < 0.14.0+dev0.14.1

< 0.13.4 – < 0.13.40.13.5

—0.13.4

弱点分類 (CWE)

CWE-22

タイムライン

予約済み2026-01-21
公開日2026-02-17
更新日2026-02-19
EPSS 更新日2026-03-23

緩和策と回避策

この脆弱性への最善の対応は、gogs.io/gogsをv0.13.4以降のバージョンにアップデートすることです。アップデートが一時的に利用できない場合は、Wikiページの更新機能に対するアクセスを制限する、または入力検証を強化するなどの対策を講じる必要があります。WAF（Web Application Firewall）を使用している場合は、不正なファイルパスを検出してブロックするルールを設定することも有効です。アップデート後、gogsインスタンスの整合性を確認し、不正なファイルが削除されていないことを確認してください。

修正方法翻訳中…

Actualice Gogs a la versión 0.13.4 o superior. Alternativamente, actualice a la versión 0.14.0+dev o superior. Estas versiones contienen la corrección para la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-24135 — Path Traversal in gogs.io/gogsとは何ですか？