打印 上一主题 下一主题

【漏洞预警】Git服务系统 Gogs 和 Gitea 远程命令执行高危漏洞

跳转到指定楼层
楼主
SetYun 发表于 2018-11-9 09:44:04 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

2018年11月5日,阿里云云盾应急响应中心监测到Gogs 和 Gitea 官方GitHub发布了安全issue,披露了一个远程命令执行漏洞(CVE-2018-18925/CVE-2018-18926),攻击者利用该漏洞,可在目标服务器上执行任意命令。



漏洞描述

Gogs 和 Gitea 都是用于搭建简单、稳定、可扩展的自助 Git 服务的平台,并都使用 Go 语言开发。在默认安装部署的情况下,由于 Gogs 和 Gitea 对用户会话管理存在漏洞导致攻击者可以将普通用户提升为管理员admin账户权限,并执行系统命令。




影响范围

Gogs 目前 master 分支下的版本

Gitea 1.5.3 之前的版本




风险评级

CVE-2018-18925:严重

CVE-2018-18926:严重




安全建议

Gogs 用户:develop 分支中已经更新漏洞修复代码,下载并安装。下载链接:https://github.com/gogs/gogs/tree/develop

Gitea 用户:下载并安装最新版本。下载链接:https://github.com/go-gitea/gitea/releases




相关链接

https://github.com/gogs/gogs/issues/5469

https://github.com/go-gitea/gitea/issues/5140




我们会关注后续进展,请随时关注官方公告。


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|SetYun ( 辽ICP备16005250号

GMT+8, 2024-12-23 02:02 , Processed in 0.038422 second(s), 4 queries , File On.

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表