Plataforma
go
Componente
gogs.io/gogs
Corrigido em
0.14.1
0.13.5
0.13.4
Uma vulnerabilidade de Path Traversal foi descoberta em gogs.io/gogs, permitindo a exclusão arbitrária de arquivos através da atualização de páginas wiki. Essa falha, classificada com severidade alta (CVSS 7.5), impacta versões anteriores a v0.13.4. A correção oficial está disponível na versão 0.13.4, e a aplicação imediata da atualização é recomendada.
A vulnerabilidade de Path Traversal em gogs.io/gogs permite que um atacante malicioso explore a funcionalidade de atualização de páginas wiki para excluir arquivos arbitrários no sistema de arquivos subjacente. Isso pode levar à perda de dados crítica, comprometimento da integridade do sistema e, potencialmente, à execução remota de código se arquivos de configuração ou executáveis forem excluídos e substituídos. O impacto é amplificado em ambientes onde o Gogs é usado para hospedar repositórios de código ou documentação sensível, pois um atacante pode comprometer a confidencialidade e a disponibilidade dessas informações. A exclusão de arquivos de sistema pode levar a uma indisponibilidade do serviço Gogs.
A vulnerabilidade foi divulgada em 2026-02-17. Não há evidências públicas de exploração ativa no momento da divulgação. A ausência de um Proof of Concept (PoC) publicamente disponível pode limitar a exploração imediata, mas a natureza da vulnerabilidade de Path Traversal a torna um alvo potencial para exploração futura. A vulnerabilidade não foi adicionada ao KEV (Know Exploited Vulnerabilities) da CISA.
Self-hosted Gogs instances running versions prior to 0.13.4 are at risk. This includes organizations using Gogs for internal Git repositories and development teams relying on Gogs for code management. Shared hosting environments running Gogs are particularly vulnerable due to the potential for cross-tenant exploitation.
• go / binary: Examine Gogs binary for suspicious file deletion functions called during wiki page update processing.
• linux / server: Monitor Gogs logs (typically in /var/log/gogs/) for unusual file deletion attempts, especially those involving paths outside of the intended wiki directory. Use journalctl -u gogs to filter relevant logs.
• generic web: Monitor web server access logs for requests to wiki update endpoints with unusual path parameters. Use curl -v <gogsurl>/<wikiupdate_endpoint> to test for path traversal.
disclosure
Status do Exploit
EPSS
0.06% (percentil 17%)
CISA SSVC
A mitigação primária para CVE-2026-24135 é a atualização imediata para a versão 0.13.4 ou superior do gogs.io/gogs. Se a atualização imediata não for possível, implemente controles de acesso rigorosos para restringir o acesso à funcionalidade de atualização de páginas wiki apenas a usuários autorizados. Considere a implementação de uma Web Application Firewall (WAF) com regras para bloquear solicitações que contenham caracteres de path traversal (por exemplo, '..'). Monitore os logs do Gogs em busca de tentativas de acesso não autorizado ou exclusão de arquivos suspeitos.
Actualice Gogs a la versión 0.13.4 o superior. Alternativamente, actualice a la versión 0.14.0+dev o superior. Estas versiones contienen la corrección para la vulnerabilidad de path traversal que permite la eliminación arbitraria de archivos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-24135 is a Path Traversal vulnerability in Gogs affecting versions before 0.13.4, allowing attackers to delete arbitrary files.
If you are running Gogs versions prior to 0.13.4, you are potentially affected by this vulnerability.
Upgrade Gogs to version 0.13.4 or later to remediate the vulnerability. Restrict file system access for the Gogs process as a temporary measure.
As of now, there are no confirmed reports of active exploitation, but the potential for exploitation exists.
Refer to the Gogs security advisory for detailed information and updates: [https://github.com/gogs/gogs/security/advisories/GHSA-xxxx-xxxx-xxxx](https://github.com/gogs/gogs/security/advisories/GHSA-xxxx-xxxx-xxxx) (replace with actual advisory URL)
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.