Podatność w Gogs (wersja 0.13.3 i wcześniejsze) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie poleceń (RCE) poprzez modyfikację plików w katalogu .git. Jest to niekompletna naprawa wcześniej zgłoszonej podatności CVE-2024-56731.
▸ Pokaż oryginał (EN)
Gogs is an open source self-hosted Git service. In version 0.13.3 and prior, due to the insufficient patch for CVE-2024-56731, it's still possible to update files in the .git directory and achieve remote command execution. This issue has been patched in versions 0.13.4 and 0.14.0+dev.
Zastosowany w poprzedniej wersji patch dla CVE-2024-56731 okazał się niewystarczający — atakujący nadal może manipulować plikami w katalogu .git repozytorium hostowanego przez Gogs. Poprzez celowe nadpisanie lub utworzenie plików konfiguracyjnych Git możliwe jest wywołanie wykonania dowolnych poleceń systemowych (command injection, CWE-78) po stronie serwera. Atak nie wymaga uwierzytelnienia ani interakcji użytkownika.
Atakujący może zdalnie wykonać dowolne polecenia na serwerze hostującym Gogs, co prowadzi do pełnego przejęcia kontroli nad systemem, kradzieży danych repozytoriów oraz potencjalnego lateral movement w sieci wewnętrznej.
Należy zaktualizować Gogs do wersji 0.13.4 lub 0.14.0+dev, w których podatność została naprawiona. Patche dostępne są w oficjalnym repozytorium projektu na GitHub.
Gogs w wersji 0.13.3 oraz wszystkich wersjach wcześniejszych
Podatność jest skutkiem niekompletnej naprawy CVE-2024-56731. Organizacje, które wcześniej zastosowały patch dla CVE-2024-56731, nadal mogą być narażone i powinny niezwłocznie zaktualizować instalację do wskazanych wersji.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XGogs
APPGogs< 0.13.4
Powiązane podatności
Gogs: nadpisywanie obiektów LFS między repozytoriami – atak na łańcuch dostaw
Gogs: RCE przez usuwanie plików w katalogu .git (bypass patcha CVE-2024-39931)
RCE w Gogs poprzez command injection w parametrze tree_path (Windows)
Argument injection w serwerze SSH Gogs prowadzący do RCE
Gogs – nieautoryzowane usuwanie plików wewnętrznych (CWE-552)