Описание
Уязвимость программного средства создания самоуправляемых Git-репозиториев Gogs связана с неверным управлением генерацией кода. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, выполнять произвольные команды
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
Gogs
Версия ПО
до 0.13.0 включительно (Gogs)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu -
Сообщество свободного программного обеспечения Debian GNU/Linux -
Уровень опасности уязвимости
Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 9,9)
Возможные меры по устранению уязвимости
Компенсирующие меры:
1. Отключение встроенного SSH-сервер.
Для этого необходимо внести следующие изменения в файл app.ini:
[server]
START_SSH_SERVER = false
2. Полное отключение службы SSH.
Для этого необходимо внести следующие изменения в файл app.ini:
[server]
DISABLE_SSH = true
3. Отключение функции регистрации новых пользователей.
Для этого необходимо внести следующие изменения в файл app.ini:
[auth]
DISABLE_REGISTRATION = true
4. Применение патча от исследователей SonarSource, только после оценки всех сопутствующих рисков:
https://gist.githubusercontent.com/paul-gerste-sonarsource/207f5dc79f59bb256a0bfccda4e3e92b/raw/Gogs-security-fixes-by-Sonar.patch
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 86%
0.02822
Низкий
9.9 Critical
CVSS3
9 Critical
CVSS2
Связанные уязвимости
CVSS3: 9.9
nvd
больше 1 года назад
Gogs through 0.13.0 allows argument injection during the previewing of changes.
CVSS3: 9.9
github
около 1 года назад
Gogs allows argument injection during the previewing of changes
EPSS
Процентиль: 86%
0.02822
Низкий
9.9 Critical
CVSS3
9 Critical
CVSS2