CRITICAL🇬🇧 English

CVE-2022-1884

RCE w Gogs poprzez command injection w parametrze tree_path (Windows)

CVSS 9.8v3.1pub. 2024-11-15upd. 2024-11-19

Podatność umożliwia zdalne wykonanie poleceń (RCE) w aplikacji Gogs w wersjach do 0.12.7 włącznie, gdy jest ona uruchomiona na serwerze Windows. Brak walidacji parametru `tree_path` pozwala atakującemu na nadpisanie konfiguracji repozytorium Git i wykonanie dowolnych poleceń systemowych.

Pokaż oryginał (EN)

A remote command execution vulnerability exists in gogs/gogs versions <=0.12.7 when deployed on a Windows server. The vulnerability arises due to improper validation of the `tree_path` parameter during file uploads. An attacker can set `tree_path=.git.` to upload a file into the .git directory, allowing them to write or rewrite the `.git/config` file. If the `core.sshCommand` is set, this can lead to remote command execution.

🤖 Analiza AI
Jak działa

Atakujący, bez jakiejkolwiek autoryzacji, przesyła plik z parametrem `tree_path` ustawionym na wartość `.git.`, co na systemach Windows pozwala ominąć zabezpieczenia i zapisać plik bezpośrednio w katalogu `.git`. W ten sposób możliwe jest utworzenie lub nadpisanie pliku `.git/config`. Jeśli w konfiguracji repozytorium zostanie ustawiona dyrektywa `core.sshCommand`, Git wykona wskazane w niej polecenie systemowe, co prowadzi do zdalnego wykonania kodu (RCE).

Skutki

Atakujący może przejąć pełną kontrolę nad serwerem, wykonując dowolne polecenia systemowe z uprawnieniami procesu Gogs. Zagrożona jest poufność, integralność i dostępność całego systemu.

Mitygacja

Należy zaktualizować Gogs do wersji wyższej niż 0.12.7. Szczegóły dotyczące dostępnych patchy dostępne są pod adresem wskazanym w referencjach producenta (huntr.com). Jako obejście tymczasowe należy rozważyć ograniczenie dostępu do funkcji przesyłania plików lub migrację na system inny niż Windows.

Kogo dotyczy

Gogs w wersjach <= 0.12.7 wdrożony na serwerach Microsoft Windows

Uwagi

Podatność dotyczy wyłącznie instalacji Gogs na systemach Windows — specyfika systemu plików Windows umożliwia obejście walidacji ścieżki poprzez użycie nazwy `.git.` (z kropką na końcu). Na systemach Linux/Unix podatność nie występuje.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Gogs

    APP
    Gogs
    ≤ 0.12.7
  • Microsoft Windows

    OS
    Microsoft
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Command Injection
CWE
Referencje

Powiązane podatności

CVE-2026-8398CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Atak na łańcuch dostaw DAEMON Tools Lite — trojanizacja instalatorów

CVE-2025-10585CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Type confusion w V8 (Google Chrome) — zdalne uszkodzenie sterty

CVE-2025-34028CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Commvault Command Center – nieuwierzytelniony RCE przez path traversal w ZIP

CVE-2024-7262CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Path Traversal w Kingsoft WPS Office — ładowanie dowolnej biblioteki Windows

CVE-2024-4577CRITICAL9.8⚠ KEVPL ✓ten sam produkt

PHP CGI argument injection – RCE na Windows przez mechanizm Best-Fit