CRITICAL✓ PATCH🇬🇧 English

CVE-2024-39931

Gogs – nieautoryzowane usuwanie plików wewnętrznych (CWE-552)

CVSS 9.9v3.1pub. 2024-07-04upd. 2025-04-10

Podatność w aplikacji Gogs (do wersji 0.13.0 włącznie) umożliwia uwierzytelnionemu użytkownikowi usuwanie wewnętrznych plików systemu. Ze względu na wysoki wynik CVSS (9.9) i szeroki zakres wpływu na poufność, integralność oraz dostępność, podatność stanowi poważne zagrożenie dla instancji Gogs.

Pokaż oryginał (EN)

Gogs through 0.13.0 allows deletion of internal files.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-552 (Files or Directories Accessible to External Parties) polega na tym, że aplikacja Gogs nie weryfikuje poprawnie uprawnień dostępu do plików wewnętrznych przed wykonaniem operacji ich usunięcia. Uwierzytelniony użytkownik z niskimi uprawnieniami może wysłać odpowiednio spreparowane żądanie sieciowe, które spowoduje usunięcie plików należących do wewnętrznej struktury aplikacji. Podatność jest dostępna zdalnie, bez konieczności interakcji po stronie ofiary.

Skutki

Atakujący może trwale usunąć wewnętrzne pliki serwera Gogs, co może prowadzić do utraty danych repozytoriów, zakłócenia działania usługi lub stworzenia warunków do dalszej eskalacji ataku. Wpływ obejmuje wysokie zagrożenie poufności, integralności i dostępności systemu.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami – najnowsze wydanie dostępne pod adresem https://github.com/gogs/gogs/releases. Należy niezwłocznie zaktualizować wszystkie instancje Gogs do wersji wyższej niż 0.13.0.

Kogo dotyczy

Gogs w wersji 0.13.0 oraz wszystkich wcześniejszych wersjach.

Uwagi

Szczegółowa analiza techniczna podatności została opublikowana przez zespół SonarSource pod adresem https://www.sonarsource.com/blog/securing-developer-tools-unpatched-code-vulnerabilities-in-gogs-1/

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Gogs

    APP
    Gogs
    ≤ 0.13.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
CWE
Referencje

Powiązane podatności

CVE-2026-25921CRITICAL9.3PL ✓ten sam produkt

Gogs: nadpisywanie obiektów LFS między repozytoriami – atak na łańcuch dostaw

CVE-2025-64111CRITICAL9.3PL ✓ten sam produkt

Gogs: ominięcie patcha CVE-2024-56731 umożliwia RCE przez .git

CVE-2024-56731CRITICAL10.0PL ✓ten sam produkt

Gogs: RCE przez usuwanie plików w katalogu .git (bypass patcha CVE-2024-39931)

CVE-2022-1884CRITICAL9.8PL ✓ten sam produkt

RCE w Gogs poprzez command injection w parametrze tree_path (Windows)

CVE-2024-39930CRITICAL9.9PL ✓ten sam produkt

Argument injection w serwerze SSH Gogs prowadzący do RCE