最新動態(tài)

【漏洞預(yù)警】 Gogs 和 Gitea 遠(yuǎn)程命令執(zhí)行高危漏洞

2018-12-27

【漏洞預(yù)警】Git服務(wù)系統(tǒng) Gogs 和 Gitea 遠(yuǎn)程命令執(zhí)行高危漏洞

2018年11月5日,Gogs 和 Gitea 官方GitHub發(fā)布了安全issue,披露了一個(gè)遠(yuǎn)程命令執(zhí)行漏洞(CVE-2018-18925/CVE-2018-18926),攻擊者利用該漏洞,可在目標(biāo)服務(wù)器上執(zhí)行任意命令。


漏洞描述
Gogs 和 Gitea 都是用于搭建簡單、穩(wěn)定、可擴(kuò)展的自助 Git 服務(wù)的平臺,并都使用 Go 語言開發(fā)。在默認(rèn)安裝部署的情況下,由于 Gogs 和 Gitea 對用戶會話管理存在漏洞導(dǎo)致攻擊者可以將普通用戶提升為管理員admin賬戶權(quán)限,并執(zhí)行系統(tǒng)命令。

影響范圍
Gogs 目前 master 分支下的版本
Gitea 1.5.3 之前的版本

風(fēng)險(xiǎn)評級
CVE-2018-18925:嚴(yán)重
CVE-2018-18926:嚴(yán)重

安全建議
Gogs 用戶:develop 分支中已經(jīng)更新漏洞修復(fù)代碼,下載并安裝。下載鏈接:https://github.com/gogs/gogs/tree/develop
Gitea 用戶:下載并安裝最新版本。下載鏈接:https://github.com/go-gitea/gitea/releases

相關(guān)鏈接
https://github.com/gogs/gogs/issues/5469
https://github.com/go-gitea/gitea/issues/5140


華云數(shù)據(jù)集團(tuán)有限公司
2018年11月05日