CVE-2024-55947

Gogs has a Path Traversal in file update API

CVSS 8.7 HIGHEPSS 75.2%CWE-22

Em resumo

Gogs possui uma falha que permite a um atacante escrever arquivos em qualquer local do servidor através da API de atualização de arquivos, podendo ser usado para obter acesso SSH não autorizado ao sistema.

Detalhe técnico

Uma vulnerabilidade de path traversal na API de atualização de arquivos do Gogs (CWE-22) permite que um atacante autenticado ou não escreva arquivos arbitrários em qualquer localização do sistema de arquivos, possibilitando injeção de chaves SSH para execução remota de código. A vulnerabilidade está corrigida a partir da versão 0.13.1.

Resumo gerado e traduzido por IA a partir da descrição oficial.

Gogs is an open source self-hosted Git service. A malicious user is able to write a file to an arbitrary path on the server to gain SSH access to the server. The vulnerability is fixed in 0.13.1.

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Produtos afetados

gogs · gogs

Quer saber se a sua infraestrutura está exposta a isto?

Falar com a TrueHacking →

Referências

https://github.com/gogs/gogs/commit/9a9388ace25bd646f5098cb9193d983332c34e41 https://github.com/gogs/gogs/issues/7582 https://github.com/gogs/gogs/pull/7859 https://github.com/gogs/gogs/security/advisories/GHSA-qf5v-rp47-55gg