CVE-2024-55947 — 神龙十问 AI 深度分析摘要

🚨 **本质**：Gogs 存在**路径遍历漏洞**。 💥 **后果**：恶意用户可将文件写入服务器**任意路径**，进而获取**SSH访问权限**，彻底沦陷。

🔍 **CWE**：CWE-22（路径遍历）。 🐛 **缺陷**：未对输入路径进行严格校验，导致**目录穿越**，绕过安全限制。

📦 **组件**：Gogs (Go Git Service)。 📅 **版本**：**0.13.1 之前**的所有版本均受影响。

👑 **权限**：获得服务器**SSH访问权限**。 📂 **数据**：可写入任意文件，可能植入后门或篡改配置，完全控制主机。

🚪 **门槛**：需**恶意用户**身份。 ⚙️ **配置**：利用路径遍历特性，无需复杂配置即可尝试写入敏感路径。

🧪 **Exp**：数据中未提供现成 PoC。 🌍 **在野**：暂无公开在野利用报告，但风险极高，建议视为高危。

🔎 **自查**：检查 Gogs 版本是否 **< 0.13.1**。 📡 **扫描**：监测对 Git 服务接口的异常路径遍历请求（如 `../` 序列）。

🛡️ **补丁**：已修复。 🔗 **详情**：参考 GitHub Security Advisory (GHSA-qf5v-rp47-55gg) 及最新 Commit。

⚠️ **规避**：立即升级至 **0.13.1 或更高版本**。 🚫 **临时**：若无补丁，限制 Git 服务访问权限，禁用不必要的写入操作。

🔥 **优先级**：**紧急**。 💡 **建议**：SSH 权限丢失是致命打击，请**立即升级**，切勿拖延。