Plataforma
go
Componente
gogs.io/gogs
Corrigido em
0.13.2
0.13.1
A vulnerabilidade CVE-2024-55947 representa uma falha de Path Traversal identificada na API de atualização de arquivos do gogs.io/gogs. Essa falha permite que um atacante acesse arquivos arbitrários no servidor, potencialmente expondo informações sensíveis. A vulnerabilidade afeta versões anteriores a 0.13.1 e foi publicada em 7 de janeiro de 2025. A correção está disponível na versão 0.13.1.
Um atacante explorando com sucesso essa vulnerabilidade pode ler arquivos arbitrários no sistema de arquivos do servidor gogs. Isso inclui arquivos de configuração, chaves privadas, dados do usuário e outros arquivos sensíveis. O impacto potencial é a exposição de informações confidenciais, comprometimento da integridade do sistema e, em alguns casos, a execução remota de código, dependendo dos arquivos acessados e das permissões do usuário gogs. A exploração bem-sucedida pode levar a uma violação de dados significativa e interrupção do serviço.
A vulnerabilidade foi publicada em 7 de janeiro de 2025. Não há informações disponíveis sobre exploração ativa ou a inclusão em catálogos como o KEV da CISA. A probabilidade de exploração é considerada baixa a média, dependendo da exposição do gogs.io/gogs na internet e da adoção da versão corrigida.
Organizations running self-hosted gogs.io/gogs instances, particularly those with publicly accessible file upload endpoints, are at risk. Environments with weak input validation or insufficient access controls are especially vulnerable.
• linux / server:
find /var/www/gogs -name '*gogs.io/gogs*' -type f -print0 | xargs -0 grep -i 'path..'• generic web:
curl -I 'http://your-gogs-server/update_file?path=../../../../etc/passwd' # Check for 200 OK response indicating successful accessdisclosure
Status do Exploit
EPSS
79.35% (percentil 99%)
CISA SSVC
Vetor CVSS
A mitigação primária para CVE-2024-55947 é atualizar para a versão 0.13.1 do gogs.io/gogs, que inclui a correção para essa vulnerabilidade. Se a atualização imediata não for possível, considere implementar controles de acesso mais rigorosos aos arquivos no servidor gogs para limitar o impacto potencial de uma exploração bem-sucedida. Implementar um Web Application Firewall (WAF) com regras para bloquear solicitações que tentam acessar arquivos fora do diretório esperado também pode ajudar. Verifique se a configuração do gogs restringe o acesso à API de atualização de arquivos apenas a usuários autorizados.
Actualice Gogs a la versión 0.13.1 o posterior. Esta versión corrige la vulnerabilidad de path traversal que permite la escritura de archivos arbitrarios en el servidor. La actualización previene el acceso SSH no autorizado al servidor.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2024-55947 is a Path Traversal vulnerability in gogs.io/gogs allowing attackers to read arbitrary files. It impacts versions before 0.13.1 and has a CVSS score of 8.8.
You are affected if you are running gogs.io/gogs versions prior to 0.13.1. Check your version and upgrade immediately.
Upgrade gogs.io/gogs to version 0.13.1 or later to patch the vulnerability. Consider temporary workarounds like restricting file upload locations if immediate upgrade is not possible.
As of 2025-01-07, there are no confirmed reports of active exploitation, but the vulnerability's ease of exploitation warrants caution.
Refer to the official gogs.io/gogs release notes and security advisories on their website for details and updates.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.