详细内容或原文请订阅后点击阅览
无所作为的一年:为什么 Gogs 忽略其产品中的关键 0day 漏洞
攻击可能会影响全球数以千计的开发人员。
来源:安全实验室新闻频道无所作为的一年:为什么 Gogs 忽略其产品中的关键 0day 漏洞
攻击可能会影响全球数以千计的开发人员。
Gogs 是一项流行的自我管理开源 Git 存储库服务,有四个突出漏洞,其中三个是严重漏洞。这些漏洞可能允许经过身份验证的攻击者危害易受攻击的实例、窃取或破坏源代码或实施后门。
SonarSource 的研究人员 Thomas Chauchefen 和 Paul Gerste 在他们的报告中指出了以下漏洞:
声纳源 :- CVE-2024-39930 (CVSS 9.9) - 嵌入式 SSH 服务器中的参数注入; CVE-2024-39931 (CVSS 9.9) - 内部文件删除; CVE-2024-39932 (CVSS 9.9) - 更改预览中的参数注入; CVE-2024-39933 (CVSS 7.7) – 创建新版本时的参数注入。
利用前三个漏洞可以在Gogs服务器上执行任意命令,第四个漏洞可以读取任意文件,包括源代码和敏感设置。
要利用所有四个漏洞,攻击者必须在目标系统上经过身份验证。 CVE-2024-39930 还需要启用内置 SSH 服务器并使用有漏洞的 env 二进制文件版本。此外,攻击者还必须拥有有效的 SSH 私钥。
首丹SonarSource 报告中的沟通时间表(翻译成俄语)
SonarSource 报告中的沟通时间表(翻译成俄语) 自定义补丁,