Platform
go
Component
gogs.io/gogs
Opgelost in
0.13.2
0.13.1
CVE-2024-55947 beschrijft een Path Traversal kwetsbaarheid in gogs.io/gogs, een Git service. Deze kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op de server te benaderen, wat kan leiden tot data-exfiltratie of zelfs code-uitvoering. De kwetsbaarheid treft versies van gogs.io/gogs vóór 0.13.1. Een patch is beschikbaar in versie 0.13.1.
Deze Path Traversal kwetsbaarheid in gogs.io/gogs maakt het mogelijk voor een kwaadwillende gebruiker om bestanden buiten de toegestane directory te benaderen. Een aanvaller kan dit misbruiken om gevoelige configuratiebestanden, broncode of andere kritieke data te stelen. In het ergste geval kan een aanvaller, afhankelijk van de bestandsrechten, zelfs code uitvoeren op de server. De impact is aanzienlijk, vooral in omgevingen waar gogs.io/gogs wordt gebruikt voor het hosten van private repositories of het beheren van gevoelige code.
Er is momenteel geen publieke exploit beschikbaar voor CVE-2024-55947. De kwetsbaarheid is toegevoegd aan de CISA KEV catalogus (KEV status onbekend op moment van schrijven). Het is aannemelijk dat deze kwetsbaarheid in de toekomst zal worden misbruikt, aangezien Path Traversal kwetsbaarheden vaak een aantrekkelijk doelwit zijn voor aanvallers. De publicatiedatum van 2025-01-07 geeft aan dat de kwetsbaarheid recent is ontdekt.
Organizations running self-hosted gogs.io/gogs instances, particularly those with publicly accessible file upload endpoints, are at risk. Environments with weak input validation or insufficient access controls are especially vulnerable.
• linux / server:
find /var/www/gogs -name '*gogs.io/gogs*' -type f -print0 | xargs -0 grep -i 'path..'• generic web:
curl -I 'http://your-gogs-server/update_file?path=../../../../etc/passwd' # Check for 200 OK response indicating successful accessdisclosure
Exploit Status
EPSS
79.35% (99% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2024-55947 is het upgraden van gogs.io/gogs naar versie 0.13.1 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan om de toegang tot de file update API te beperken via een Web Application Firewall (WAF) of proxy. Configureer de WAF om verzoeken met verdachte paden (zoals '..') te blokkeren. Controleer de bestandsrechten op de server om te zorgen dat de gogs-gebruiker geen onnodige privileges heeft. Na de upgrade, verifieer de fix door te proberen een bestand buiten de toegestane directory te benaderen via de file update API; dit zou moeten mislukken.
Actualice Gogs a la versión 0.13.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura de archivos arbitrarios en el servidor. La actualización previene el acceso SSH no autorizado al servidor.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2024-55947 is a Path Traversal vulnerability in gogs.io/gogs allowing attackers to read arbitrary files. It impacts versions before 0.13.1 and has a CVSS score of 8.8.
You are affected if you are running gogs.io/gogs versions prior to 0.13.1. Check your version and upgrade immediately.
Upgrade gogs.io/gogs to version 0.13.1 or later to patch the vulnerability. Consider temporary workarounds like restricting file upload locations if immediate upgrade is not possible.
As of 2025-01-07, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Refer to the official gogs.io/gogs release notes and security advisories on their website for details and updates.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.