Platform
go
Component
gogs.io/gogs
Opgelost in
0.14.1
0.13.5
0.13.4
CVE-2026-24135 beschrijft een Path Traversal kwetsbaarheid in gogs.io/gogs, waardoor een aanvaller potentieel willekeurige bestanden op het systeem kan verwijderen. Deze kwetsbaarheid treedt op bij het bijwerken van wikipagina’s. De kwetsbaarheid beïnvloedt versies van gogs.io/gogs vóór 0.13.4. Een upgrade naar versie 0.13.4 is beschikbaar om dit probleem te verhelpen.
Deze Path Traversal kwetsbaarheid stelt een aanvaller in staat om willekeurige bestanden op het systeem te verwijderen, mits ze toegang hebben tot de wiki-functionaliteit van Gogs. Een succesvolle exploitatie kan leiden tot dataverlies, verstoring van de dienst en mogelijk zelfs tot volledige controle over het systeem, afhankelijk van de rechten van de gebruiker die de wiki beheert. De impact is aanzienlijk, aangezien een aanvaller kritieke systeembestanden of configuratiebestanden kan verwijderen, waardoor de functionaliteit van de Gogs-server wordt aangetast. Het is belangrijk om te benadrukken dat de kwetsbaarheid zich specifiek voordoet bij het bijwerken van wikipagina’s, wat de aanvalsoppervlakte enigszins beperkt, maar nog steeds een significant risico vormt.
Op dit moment (2026-02-17) is er geen publieke exploitatie van CVE-2026-24135 bekend. De kwetsbaarheid is recentelijk openbaar gemaakt. Het is onduidelijk of deze kwetsbaarheid op de CISA KEV-lijst zal worden opgenomen. Er zijn geen bekende actieve campagnes die deze kwetsbaarheid uitbuiten, maar het is raadzaam om de situatie te blijven monitoren, aangezien Path Traversal kwetsbaarheden vaak snel worden geëxploiteerd.
Self-hosted Gogs instances running versions prior to 0.13.4 are at risk. This includes organizations using Gogs for internal Git repositories and development teams relying on Gogs for code management. Shared hosting environments running Gogs are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / binary: Examine Gogs binary for suspicious file deletion functions called during wiki page update processing.
• linux / server: Monitor Gogs logs (typically in /var/log/gogs/) for unusual file deletion attempts, especially those involving paths outside of the intended wiki directory. Use journalctl -u gogs to filter relevant logs.
• generic web: Monitor web server access logs for requests to wiki update endpoints with unusual path parameters. Use curl -v <gogsurl>/<wikiupdate_endpoint> to test for path traversal.
disclosure
Exploit Status
EPSS
0.06% (17% percentiel)
CISA SSVC
De primaire mitigatie voor CVE-2026-24135 is het upgraden van Gogs naar versie 0.13.4 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot de wiki-functionaliteit of het implementeren van strenge inputvalidatie op de wikipagina’s. Een Web Application Firewall (WAF) kan worden geconfigureerd om verdachte padtraversal-pogingen te blokkeren. Controleer de Gogs-logbestanden op ongebruikelijke activiteit die kan wijzen op een poging tot exploitatie. Na de upgrade, verifieer de fix door een poging te doen tot het bijwerken van een wikipagina met een kwaadwillig pad, en controleer of de update mislukt en geen bestanden worden verwijderd.
Actualice Gogs a la versión 0.13.4 o superior. Alternativamente, actualice a la versión 0.14.0+dev o superior. Estas versiones contienen la corrección para la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-24135 is a Path Traversal vulnerability in Gogs affecting versions before 0.13.4, allowing attackers to delete arbitrary files.
If you are running Gogs versions prior to 0.13.4, you are potentially affected by this vulnerability.
Upgrade Gogs to version 0.13.4 or later to remediate the vulnerability. Restrict file system access for the Gogs process as a temporary measure.
As of now, there are no confirmed reports of active exploitation, but the potential for exploitation exists.
Refer to the Gogs security advisory for detailed information and updates: [https://github.com/gogs/gogs/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/gogs/gogs/security/advisories/GHSA-xxxx-xxxx-xxxx) (replace with actual advisory URL)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.
Upload je go.mod-bestand en we vertellen je direct of je getroffen bent.