CDN加速

产品动态 > 正文

【漏洞预警】Gogs/Gitea远程代码执行漏洞

2018-11-06


11月5日,安全人员发现Gogs 和 Gitea存在远程命令执行漏洞并发布安全报告 (漏洞编号:CVE-2018-18925/6)

“ 事件回顾”
Gogs(又名Go Git Service)是Gogs团队开发的一个基于Go语言的自助Git托管服务,它支持创建、迁移公开/私有仓库,添加、删除仓库协作者等,而Gitea是Gogs的一个分支,随之也受到影响。

在默认安装部署的情况下,由于Gogs 和 Gitea对会话ID的验证出现问题导致攻击者可以将注册普通用户提升为管理员账户权限,并通过git hooks执行任意命令。

攻击者可登陆任意账号包括管理员账号, 利用git hooks执行任意命令,存在严重的越权和命令执行漏洞。

网宿科技入选2021信息安全企业排行百强

“ 影响范围”
Gogs 0.11.66及之前的版本
Gitea 1.5.3及之前的版本
“官方修复方案”
Gogs可至Github下载编译develop分支,在该分支中此漏洞已经修复。
Gitea更至1.5.4版本即可
“ 网宿云安全紧急响应”
网宿云安全已开通漏洞响应快速通道,受本次漏洞影响的网站负责人可以致电网宿科技7*24小时客服热线,在安全专家的指导下快速接入网站,进行防护指导。

网宿云WAF能够防护已知的各类漏洞,同时,还可以基于对大量监控数据的实时分析,第一时间发现并防护新出现的漏洞,保障网站底层框架的安全。
漏洞响应快速通道
400-010-0617