Podatność w Gogs (self-hosted Git) umożliwia nieuwierzytelnionym lub nieuprzywilejowanym użytkownikom wykonanie dowolnych poleceń na serwerze poprzez usuwanie plików w katalogu .git. Jest to obejście niewystarczającego patcha dla wcześniej zgłoszonej podatności CVE-2024-39931.
▸ Pokaż oryginał (EN)
Gogs is an open source self-hosted Git service. Prior to version 0.13.3, it's still possible to delete files under the .git directory and achieve remote command execution due to an insufficient patch for CVE-2024-39931. Unprivileged user accounts can execute arbitrary commands on the Gogs instance with the privileges of the account specified by RUN_USER in the configuration. Allowing attackers to access and alter any users' code hosted on the same instance. This issue has been patched in version 0.13.3.
Podatność wynika z niepełnego zabezpieczenia wprowadzonego w ramach łatki dla CVE-2024-39931 — mechanizm ochronny nie blokuje w sposób skuteczny operacji usuwania plików wewnątrz katalogu .git repozytorium. Nieuprzywilejowane konto użytkownika może manipulować zawartością katalogu .git, co prowadzi do wykonania arbitrary commands na instancji Gogs. Polecenia są wykonywane z uprawnieniami konta systemowego określonego parametrem RUN_USER w konfiguracji serwisu.
Atakujący może wykonać dowolne polecenia systemowe na serwerze Gogs oraz uzyskać dostęp do kodu źródłowego i modyfikować repozytoria wszystkich użytkowników hostowanych na tej samej instancji.
Należy zaktualizować Gogs do wersji 0.13.3, w której podatność została załatana. Patch dostępny w repozytorium GitHub projektu (tag v0.13.3).
Gogs w wersjach przed 0.13.3
Podatność stanowi bypass niewystarczającego patcha dla CVE-2024-39931. Pomimo oceny CVSS 10.0 (Critical), CISA nie umieściła jej w katalogu KEV. Wektor ataku sieciowy, brak wymaganych uprawnień i brak interakcji użytkownika znacząco podnoszą ryzyko.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HGogs
APPGogs< 0.13.3
Powiązane podatności
Gogs: nadpisywanie obiektów LFS między repozytoriami – atak na łańcuch dostaw
Gogs: ominięcie patcha CVE-2024-56731 umożliwia RCE przez .git
RCE w Gogs poprzez command injection w parametrze tree_path (Windows)
Argument injection w serwerze SSH Gogs prowadzący do RCE
Gogs – nieautoryzowane usuwanie plików wewnętrznych (CWE-552)