CRITICAL🇬🇧 English

CVE-2024-56731

Gogs: RCE przez usuwanie plików w katalogu .git (bypass patcha CVE-2024-39931)

CVSS 10.0v3.1pub. 2025-06-24upd. 2025-08-21

Podatność w Gogs (self-hosted Git) umożliwia nieuwierzytelnionym lub nieuprzywilejowanym użytkownikom wykonanie dowolnych poleceń na serwerze poprzez usuwanie plików w katalogu .git. Jest to obejście niewystarczającego patcha dla wcześniej zgłoszonej podatności CVE-2024-39931.

Pokaż oryginał (EN)

Gogs is an open source self-hosted Git service. Prior to version 0.13.3, it's still possible to delete files under the .git directory and achieve remote command execution due to an insufficient patch for CVE-2024-39931. Unprivileged user accounts can execute arbitrary commands on the Gogs instance with the privileges of the account specified by RUN_USER in the configuration. Allowing attackers to access and alter any users' code hosted on the same instance. This issue has been patched in version 0.13.3.

🤖 Analiza AI
Jak działa

Podatność wynika z niepełnego zabezpieczenia wprowadzonego w ramach łatki dla CVE-2024-39931 — mechanizm ochronny nie blokuje w sposób skuteczny operacji usuwania plików wewnątrz katalogu .git repozytorium. Nieuprzywilejowane konto użytkownika może manipulować zawartością katalogu .git, co prowadzi do wykonania arbitrary commands na instancji Gogs. Polecenia są wykonywane z uprawnieniami konta systemowego określonego parametrem RUN_USER w konfiguracji serwisu.

Skutki

Atakujący może wykonać dowolne polecenia systemowe na serwerze Gogs oraz uzyskać dostęp do kodu źródłowego i modyfikować repozytoria wszystkich użytkowników hostowanych na tej samej instancji.

Mitygacja

Należy zaktualizować Gogs do wersji 0.13.3, w której podatność została załatana. Patch dostępny w repozytorium GitHub projektu (tag v0.13.3).

Kogo dotyczy

Gogs w wersjach przed 0.13.3

Uwagi

Podatność stanowi bypass niewystarczającego patcha dla CVE-2024-39931. Pomimo oceny CVSS 10.0 (Critical), CISA nie umieściła jej w katalogu KEV. Wektor ataku sieciowy, brak wymaganych uprawnień i brak interakcji użytkownika znacząco podnoszą ryzyko.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Gogs

    APP
    Gogs
    < 0.13.3
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-25921CRITICAL9.3PL ✓ten sam produkt

Gogs: nadpisywanie obiektów LFS między repozytoriami – atak na łańcuch dostaw

CVE-2025-64111CRITICAL9.3PL ✓ten sam produkt

Gogs: ominięcie patcha CVE-2024-56731 umożliwia RCE przez .git

CVE-2022-1884CRITICAL9.8PL ✓ten sam produkt

RCE w Gogs poprzez command injection w parametrze tree_path (Windows)

CVE-2024-39930CRITICAL9.9PL ✓ten sam produkt

Argument injection w serwerze SSH Gogs prowadzący do RCE

CVE-2024-39931CRITICAL9.9PL ✓ten sam produkt

Gogs – nieautoryzowane usuwanie plików wewnętrznych (CWE-552)

CVE-2024-56731 — Gogs: RCE przez usuwanie plików w katalogu .git (bypass patcha CVE-2024-39931) — CRITICAL 10.0 | CVEbaza.pl