CVE-2026-24135
Gogs vulnerable to arbitrary file deletion via path traversal in wiki page update
Em resumo
Gogs permite que usuários autenticados com acesso de escrita na wiki de um repositório deletem arquivos arbitrários no servidor manipulando os caminhos de arquivo. Isso pode danificar o sistema ou causar perda de dados críticos.
Detalhe técnico
Uma vulnerabilidade de path traversal na função updateWikiPage permite que atacantes autenticados com permissões de escrita na wiki do repositório deletem arquivos arbitrários explorando o parâmetro old_title. A vulnerabilidade requer acesso válido ao repositório, mas habilita deleção irrestrita de arquivos através de técnicas de travessia de diretório, afetando a integridade e disponibilidade do sistema.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Gogs is an open source self-hosted Git service. In version 0.13.3 and prior, a path traversal vulnerability exists in the updateWikiPage function of Gogs. The vulnerability allows an authenticated user with write access to a repository's wiki to delete arbitrary files on the server by manipulating the old_title parameter in the wiki editing form. This issue has been patched in versions 0.13.4 and 0.14.0+dev.
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
gogs · gogsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →