Gogs 存在通过 wiki 页面更新中的路径遍历漏洞导致任意文件删除的风险，位于 gogs.io/gogs

攻击者可以利用此路径遍历漏洞，通过 Wiki 页面更新功能，构造恶意请求，访问并删除服务器上的任意文件。这可能导致敏感数据泄露、系统配置被篡改，甚至导致服务中断。攻击者可能能够删除关键配置文件、数据库文件或其他重要数据，从而完全控制受影响的 Gogs 实例。由于 Gogs 通常用于代码托管和协作，因此此漏洞可能导致源代码泄露和知识产权损失。该漏洞的潜在影响范围取决于 Gogs 实例的权限配置和部署环境。

Self-hosted Gogs instances running versions prior to 0.13.4 are at risk. This includes organizations using Gogs for internal Git repositories and development teams relying on Gogs for code management. Shared hosting environments running Gogs are particularly vulnerable due to the potential for cross-tenant exploitation.

• go / binary: Examine Gogs binary for suspicious file deletion functions called during wiki page update processing. • linux / server: Monitor Gogs logs (typically in /var/log/gogs/) for unusual file deletion attempts, especially those involving paths outside of the intended wiki directory. Use journalctl -u gogs to filter relevant logs. • generic web: Monitor web server access logs for requests to wiki update endpoints with unusual path parameters. Use curl -v <gogsurl>/<wikiupdate_endpoint> to test for path traversal.

1. 2026-02-17Disclosure

   disclosure

1. 已保留2026-01-21
2. 发布日期2026-02-17
3. 修改日期2026-02-19
4. EPSS 更新日期2026-03-23

最有效的缓解措施是立即将 Gogs 升级至 0.13.4 或更高版本。如果无法立即升级，可以考虑以下临时缓解措施：限制 Wiki 页面更新功能的访问权限，只允许授权用户进行修改。实施严格的文件访问控制，确保 Gogs 进程只能访问其所需的文件。监控 Gogs 日志，查找可疑的文件访问或删除操作。使用 Web 应用防火墙 (WAF) 规则，阻止包含恶意路径的请求。在升级后，请验证 Gogs 实例是否已成功应用补丁，并确认 Wiki 页面更新功能不再允许删除任意文件。