Описание
Уязвимость программного средства создания самоуправляемых Git-репозиториев Gogs связана с внедрением или модификацией аргументов. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть защищаемую информацию
Вендор
Сообщество свободного программного обеспечения
Наименование ПО
Gogs
Версия ПО
до 0.13.0 включительно (Gogs)
Тип ПО
Сетевое средство
Операционные системы и аппаратные платформы
Canonical Ltd. Ubuntu -
Сообщество свободного программного обеспечения Debian GNU/Linux -
Уровень опасности уязвимости
Средний уровень опасности (базовая оценка CVSS 2.0 составляет 6,8)
Высокий уровень опасности (базовая оценка CVSS 3.0 составляет 7,7)
Возможные меры по устранению уязвимости
Компенсирующие меры:
1. Отключение встроенного SSH-сервер.
Для этого необходимо внести следующие изменения в файл app.ini:
[server]
START_SSH_SERVER = false
2. Полное отключение службы SSH.
Для этого необходимо внести следующие изменения в файл app.ini:
[server]
DISABLE_SSH = true
3. Отключение функции регистрации новых пользователей.
Для этого необходимо внести следующие изменения в файл app.ini:
[auth]
DISABLE_REGISTRATION = true
Применение патча от исследователей SonarSource, только после оценки всех сопутствующих рисков:
https://gist.githubusercontent.com/paul-gerste-sonarsource/207f5dc79f59bb256a0bfccda4e3e92b/raw/Gogs-security-fixes-by-Sonar.patch
Статус уязвимости
Подтверждена производителем
Наличие эксплойта
Существует в открытом доступе
Информация об устранении
Информация об устранении отсутствует
Ссылки на источники
Идентификаторы других систем описаний уязвимостей
- CVE
EPSS
Процентиль: 53%
0.003
Низкий
7.7 High
CVSS3
6.8 Medium
CVSS2
Связанные уязвимости
CVSS3: 7.7
nvd
больше 1 года назад
Gogs through 0.13.0 allows argument injection during the tagging of a new release.
CVSS3: 7.7
github
около 1 года назад
Gogs allows argument Injection when tagging new releases
EPSS
Процентиль: 53%
0.003
Низкий
7.7 High
CVSS3
6.8 Medium
CVSS2