CRITICAL🇬🇧 English

CVE-2026-52811

Gogs: path traversal przez symlink w UploadRepoFiles umożliwia zapis dowolnych plików

CVSS 9.0v4.0pub. 2026-06-24upd. 2026-06-26

Podatność w Gogs (wersje przed 0.14.3) pozwala atakującemu posiadającemu dostęp do zapisu w repozytorium na nadpisanie dowolnego pliku dostępnego dla procesu Gogs poprzez manipulację nazwą przesyłanego pliku i wcześniej umieszczony symlink w repozytorium. Skutki mogą obejmować uzyskanie dostępu SSH do serwera lub zdalne wykonanie kodu (RCE) przy kolejnym pushu.

Pokaż oryginał (EN)

Gogs is an open source self-hosted Git service. Prior to 0.14.3, (*Repository).UploadRepoFiles checks for symlinks only on the leaf of the upload target (osx.IsSymlink(targetPath)). The siblings UpdateRepoFile, DeleteRepoFile, and GetDiffPreview use hasSymlinkInPath, which lstats every component — UploadRepoFiles is the lone outlier. An attacker with repo-write access plus a multipart upload whose filename contains a literal backslash (preserved by filepath.Base on Linux, then converted to / by pathx.Clean) redirects the write through a previously-committed directory symlink. iox.CopyFile opens the destination with os.Create (no O_NOFOLLOW), so the kernel follows the parent symlink and writes attacker bytes anywhere the gogs UID can write — ~git/.ssh/authorized_keys → SSH foothold, or <repo>.git/hooks/post-receive → next-push RCE. This vulnerability is fixed in 0.14.3.

🤖 Analiza AI
Jak działa

Funkcja UploadRepoFiles sprawdza obecność symlinków jedynie w ostatnim elemencie ścieżki docelowej (liściu), w odróżnieniu od funkcji UpdateRepoFile, DeleteRepoFile i GetDiffPreview, które weryfikują każdy komponent ścieżki. Atakujący przesyła plik multipart, którego nazwa zawiera dosłowny znak backslash — na Linuksie filepath.Base zachowuje go, a następnie pathx.Clean konwertuje go na separator katalogów (/), co przekierowuje zapis przez wcześniej zacommitowany symlink katalogu w repozytorium. Funkcja iox.CopyFile otwiera docelowy plik przez os.Create bez flagi O_NOFOLLOW, przez co jądro systemu podąża za symlinkiem i zapisuje dane atakującego w dowolnym miejscu dostępnym dla UID procesu Gogs. Przykładowe scenariusze eksploitacji to nadpisanie pliku ~/.ssh/authorized_keys (uzyskanie dostępu SSH) lub pliku hooków Git (np. post-receive), co prowadzi do RCE przy kolejnym pushu do repozytorium.

Skutki

Atakujący może zapisać dowolną zawartość w plikach dostępnych dla konta systemowego Gogs, co w praktyce umożliwia uzyskanie trwałego dostępu SSH do serwera lub zdalne wykonanie kodu (RCE) poprzez złośliwy Git hook.

Mitygacja

Należy zaktualizować Gogs do wersji 0.14.3 lub nowszej. Patch dostępny jest w oficjalnym repozytorium projektu (tag v0.14.3). Jako środek tymczasowy należy ograniczyć dostęp do zapisu w repozytoriach wyłącznie do zaufanych użytkowników.

Kogo dotyczy

Gogs w wersjach wcześniejszych niż 0.14.3

Uwagi

Podatność wymaga od atakującego posiadania dostępu do zapisu w repozytorium (PR:L) oraz wcześniejszego umieszczenia symlinku katalogu w repozytorium (AT:P). Szczegóły techniczne opublikowane w ramach GitHub Security Advisory GHSA-89mr-xqfv-758m.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Path Traversal
CWE
Referencje