Gogs/Gitea 远程代码执行漏洞
Gogs 0.11.66及之前的版本由于对会话ID的验证出现问题,将会导致远程代码执行。
Gitea 1.5.3及之前的版本由于对会话ID验证出现问题,将会导致远程代码执行。
漏洞影响
攻击者可登陆任意账号包括管理员账号,同时可利用git hooks执行任意命令,同时存在严重的越权和命令执行问题。
漏洞修复
Gogs可至Github下载编译develop分支,在该分支中此漏洞已经修复。
Gitea更至1.5.4版本即可。
参考链接
https://nvd.nist.gov/vuln/detail/CVE-2018-18925
https://nvd.nist.gov/vuln/detail/CVE-2018-18926
(漏洞详情页面可导向具体Issues)