Krytyczna luka w Gogs umożliwiająca zdalne wykonanie kodu przez symlinki w uploadzie plików

Krytyczna luka w Gogs przed 0.14.3 pozwala na zdalne wykonanie kodu przez symlinki w uploadzie plików. Zalecana natychmiastowa aktualizacja.
CVE-2026-52811CVSS 9.0Linux

Krytyczna luka w Gogs umożliwiająca zdalne wykonanie kodu przez symlinki w uploadzie plików

Krytyczna luka w Gogs przed 0.14.3 pozwala na zdalne wykonanie kodu przez symlinki w uploadzie plików. Zalecana natychmiastowa aktualizacja.

CVSS
9.0 CRITICAL
EPSS
37.58%
Aktywnie wykorzystywana
brak w KEV
Produkt
-

Co wiadomo

W Gogs przed wersją 0.14.3 funkcja UploadRepoFiles nieprawidłowo obsługuje symlinki w ścieżkach plików, co pozwala atakującemu z uprawnieniami zapisu w repozytorium na nadpisanie dowolnych plików poprzez specjalnie spreparowane nazwy plików. Może to prowadzić do uzyskania dostępu SSH lub zdalnego wykonania kodu przy kolejnym pushu.

Wpływ biznesowy

Luka o krytycznym poziomie CVSS 9.0 umożliwia atakującemu eskalację uprawnień i trwały dostęp do serwera Gogs, co zagraża integralności i poufności repozytoriów oraz całej infrastruktury. Wykorzystanie tej podatności może skutkować przejęciem kontroli nad systemem, co wymaga natychmiastowej reakcji ze strony administratorów IT.

Rekomendowane działania administratora

Zaleca się niezwłoczne zaktualizowanie Gogs do wersji 0.14.3 lub nowszej, w której luka została załatana. W przypadku braku możliwości aktualizacji należy ograniczyć dostęp do serwera, szczegółowo przejrzeć logi pod kątem podejrzanej aktywności oraz zweryfikować uprawnienia plików i katalogów. Priorytetowo należy monitorować i zabezpieczyć klucze SSH oraz skrypty hooków w repozytoriach.

Źródła