Описание
Уязвимость программного средства создания самоуправляемых Git-репозиториев Gogs связана с использованием файлов и каталогов, доступных внешним сторонам. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, удалить или модифицировать произвольные файлы
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
Gogs
Версия ПО
до 0.13.0 включительно (Gogs)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu -
Сообщество свободного программного обеспечения Debian GNU/Linux -
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)
Возможные меры по устранению уязвимости
Компенсирующие меры:
1. Отключение встроенного SSH-сервер.
Для этого необходимо внести следующие изменения в файл app.ini:
[server]
START_SSH_SERVER = false
2. Полное отключение службы SSH.
Для этого необходимо внести следующие изменения в файл app.ini:
[server]
DISABLE_SSH = true
3. Отключение функции регистрации новых пользователей.
Для этого необходимо внести следующие изменения в файл app.ini:
[auth]
DISABLE_REGISTRATION = true
Применение патча от исследователей SonarSource, только после оценки всех сопутствующих рисков:
https://gist.githubusercontent.com/paul-gerste-sonarsource/207f5dc79f59bb256a0bfccda4e3e92b/raw/Gogs-security-fixes-by-Sonar.patch
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Данные уточняются
Информация об устранении
Информация об устранении отсутствует
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 93%
0.09509
Низкий
9.9 Critical
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.9
nvd
больше 1 года назад
Gogs through 0.13.0 allows deletion of internal files.
EPSS
Процентиль: 93%
0.09509
Низкий
9.9 Critical
CVSS3
9 Critical
CVSS2