公告资讯

服务公告 > 【漏洞预警】 Gogs 和 Gitea 远程命令执行高危漏洞

【漏洞预警】 Gogs 和 Gitea 远程命令执行高危漏洞

2018-12-27

【漏洞预警】Git服务系统 Gogs 和 Gitea 远程命令执行高危漏洞

2018年11月5日,Gogs 和 Gitea 官方GitHub发布了安全issue,披露了一个远程命令执行漏洞(CVE-2018-18925/CVE-2018-18926),攻击者利用该漏洞,可在目标服务器上执行任意命令。


漏洞描述
Gogs 和 Gitea 都是用于搭建简单、稳定、可扩展的自助 Git 服务的平台,并都使用 Go 语言开发。在默认安装部署的情况下,由于 Gogs 和 Gitea 对用户会话管理存在漏洞导致攻击者可以将普通用户提升为管理员admin账户权限,并执行系统命令。

影响范围
Gogs 目前 master 分支下的版本
Gitea 1.5.3 之前的版本

风险评级
CVE-2018-18925:严重
CVE-2018-18926:严重

安全建议
Gogs 用户:develop 分支中已经更新漏洞修复代码,下载并安装。下载链接:https://github.com/gogs/gogs/tree/develop
Gitea 用户:下载并安装最新版本。下载链接:https://github.com/go-gitea/gitea/releases

相关链接
https://github.com/gogs/gogs/issues/5469
https://github.com/go-gitea/gitea/issues/5140


华云数据集团有限公司
2018年11月05日

热门消息
暂无资讯
热门消息