Kritikus sérülékenység a Gogs open-source Git szolgáltatásban
Biztonsági kutatók több sérülékenységet (CVE-2024-39930,CVE-2024-39931, CVE-2024-39932) hoztak nyilvánosságra, amelyek a Gogs nyílt forráskódú Git szolgáltatást érintik. A sérülékenységek CVSSv3 (Common Vulnerability Scoring System) pontszáma 9,9 a 10-ből.
A sérülékenységek a következők:
- CVE-2024-39930: A sérülékenység sikeres kihasználása lehetővé teheti egy hitelesített támadó számára, hogy argumentumokat injektáljon a beépített Secure Socket Shell (SSH) kiszolgálóba, ami távoli kódfuttatáshoz vezethet.
- CVE-2024-39931: A sérülékenység sikeres kihasználása lehetővé teheti egy hitelesített támadó számára belső fájlok törlését.
- CVE-2024-39932: A sérülékenység sikeres kihasználása lehetővé teheti egy hitelesített támadó számára, hogy a módosítások előnézetének megtekintése során argumentumokat injektáljon.
A kritikus sérülékenységek a Gogs 0.13.0 és korábbi verzióit érintik.
Az érintett termékverziók felhasználóinak és rendszergazdáinak ajánlott a beépített SSH-kiszolgáló és a felhasználói regisztráció letiltása.
