CVE-2024-55947

Gogs has a Path Traversal in file update API

CVSS 8.7 HIGHEPSS 75.2%CWE-22

En resumen

Gogs tiene una falla que permite a un atacante escribir archivos en cualquier ubicación del servidor a través de la API de actualización de archivos, que puede usarse para obtener acceso SSH no autorizado al sistema.

Detalle técnico

Una vulnerabilidad de path traversal en la API de actualización de archivos de Gogs (CWE-22) permite que un atacante autenticado o no escriba archivos arbitrarios en cualquier ubicación del sistema de archivos, posibilitando la inyección de claves SSH para la ejecución remota de código. La vulnerabilidad está corregida a partir de la versión 0.13.1.

Resumen generado y traducido por IA a partir de la descripción oficial.

Gogs is an open source self-hosted Git service. A malicious user is able to write a file to an arbitrary path on the server to gain SSH access to the server. The vulnerability is fixed in 0.13.1.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Productos afectados

gogs · gogs

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/gogs/gogs/commit/9a9388ace25bd646f5098cb9193d983332c34e41 https://github.com/gogs/gogs/issues/7582 https://github.com/gogs/gogs/pull/7859 https://github.com/gogs/gogs/security/advisories/GHSA-qf5v-rp47-55gg