CRITICAL🇬🇧 English

CVE-2025-64111

Gogs: ominięcie patcha CVE-2024-56731 umożliwia RCE przez .git

CVSS 9.3v4.0pub. 2026-02-06upd. 2026-02-18

Podatność w Gogs (wersja 0.13.3 i wcześniejsze) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie poleceń (RCE) poprzez modyfikację plików w katalogu .git. Jest to niekompletna naprawa wcześniej zgłoszonej podatności CVE-2024-56731.

Pokaż oryginał (EN)

Gogs is an open source self-hosted Git service. In version 0.13.3 and prior, due to the insufficient patch for CVE-2024-56731, it's still possible to update files in the .git directory and achieve remote command execution. This issue has been patched in versions 0.13.4 and 0.14.0+dev.

🤖 Analiza AI
Jak działa

Zastosowany w poprzedniej wersji patch dla CVE-2024-56731 okazał się niewystarczający — atakujący nadal może manipulować plikami w katalogu .git repozytorium hostowanego przez Gogs. Poprzez celowe nadpisanie lub utworzenie plików konfiguracyjnych Git możliwe jest wywołanie wykonania dowolnych poleceń systemowych (command injection, CWE-78) po stronie serwera. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika.

Skutki

Atakujący może zdalnie wykonać dowolne polecenia na serwerze hostującym Gogs, co prowadzi do pełnego przejęcia kontroli nad systemem, kradzieży danych repozytoriów oraz potencjalnego lateral movement w sieci wewnętrznej.

Mitygacja

Należy zaktualizować Gogs do wersji 0.13.4 lub 0.14.0+dev, w których podatność została naprawiona. Patche dostępne są w oficjalnym repozytorium projektu na GitHub.

Kogo dotyczy

Gogs w wersji 0.13.3 oraz wszystkich wersjach wcześniejszych

Uwagi

Podatność jest skutkiem niekompletnej naprawy CVE-2024-56731. Organizacje, które wcześniej zastosowały patch dla CVE-2024-56731, nadal mogą być narażone i powinny niezwłocznie zaktualizować instalację do wskazanych wersji.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Gogs

    APP
    Gogs
    < 0.13.4
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-25921CRITICAL9.3PL ✓ten sam produkt

Gogs: nadpisywanie obiektów LFS między repozytoriami – atak na łańcuch dostaw

CVE-2024-56731CRITICAL10.0PL ✓ten sam produkt

Gogs: RCE przez usuwanie plików w katalogu .git (bypass patcha CVE-2024-39931)

CVE-2022-1884CRITICAL9.8PL ✓ten sam produkt

RCE w Gogs poprzez command injection w parametrze tree_path (Windows)

CVE-2024-39930CRITICAL9.9PL ✓ten sam produkt

Argument injection w serwerze SSH Gogs prowadzący do RCE

CVE-2024-39931CRITICAL9.9PL ✓ten sam produkt

Gogs – nieautoryzowane usuwanie plików wewnętrznych (CWE-552)