漏洞预警 | Gogs/Gitea 远程代码执行漏洞(CVE-2018-18925/6)

 

Gogs/Gitea 远程代码执行漏洞

Gogs 0.11.66及之前的版本由于对会话ID的验证出现问题,将会导致远程代码执行。

Gitea 1.5.3及之前的版本由于对会话ID验证出现问题,将会导致远程代码执行。

 

漏洞影响

攻击者可登陆任意账号包括管理员账号,同时可利用git hooks执行任意命令,同时存在严重的越权和命令执行问题。

 

漏洞修复

Gogs可至Github下载编译develop分支,在该分支中此漏洞已经修复。

Gitea更至1.5.4版本即可。

 

参考链接

https://nvd.nist.gov/vuln/detail/CVE-2018-18925

https://nvd.nist.gov/vuln/detail/CVE-2018-18926

(漏洞详情页面可导向具体Issues)

(完)