• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群7652650
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

漏洞预警Git Gogs和Gitea远程命令执行高危漏洞

安全情报 aqzt 2周前 (11-06) 127次浏览

漏洞预警 Git 服务系统 Gogs 和 Gitea 远程命令执行高危漏洞

2018 年 11 月 5 日,监测到 Gogs 和 Gitea 官方 GitHub 发布了安全 issue,披露了一个远程命令执行漏洞(CVE-2018-18925/CVE-2018-18926),攻击者利用该漏洞,可在目标服务器上执行任意命令。

漏洞描述

Gogs 和 Gitea 都是用于搭建简单、稳定、可扩展的自助 Git 服务的平台,并都使用 Go 语言开发。在默认安装部署的情况下,由于 Gogs 和 Gitea 对用户会话管理存在漏洞导致攻击者可以将普通用户提升为管理员 admin 账户权限,并执行系统命令。

影响范围

Gogs 目前 master 分支下的版本

Gitea 1.5.3 之前的版本

风险评级

CVE-2018-18925:严重

CVE-2018-18926:严重

安全建议

Gogs 用户:develop 分支中已经更新漏洞修复代码,下载并安装。下载链接:https://github.com/gogs/gogs/tree/develop

Gitea 用户:下载并安装最新版本。下载链接:https://github.com/go-gitea/gitea/releases

相关链接

https://github.com/gogs/gogs/issues/5469

https://github.com/go-gitea/gitea/issues/5140

我们会关注后续进展,请随时关注官方公告。


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:漏洞预警 Git Gogs 和 Gitea 远程命令执行高危漏洞
喜欢 (0)