Описание
Gogs allows deletion of internal files
Impact
Unprivileged user accounts can execute arbitrary commands on the Gogs instance with the privileges of the account specified by RUN_USER in the configuration. It allows attackers to access and alter any users' code hosted on the same instance.
Patches
Deletion of .git files has been prohibited (https://github.com/gogs/gogs/pull/7870). Users should upgrade to 0.13.1 or the latest 0.14.0+dev.
Workarounds
No viable workaround available, please only grant access to trusted users to your Gogs instance on affected versions.
References
Пакеты
gogs.io/gogs
<= 0.13.0
0.13.1
Связанные уязвимости
Gogs through 0.13.0 allows deletion of internal files.
Уязвимость программного средства создания самоуправляемых Git-репозиториев Gogs, связанная с использованием файлов и каталогов, доступных внешним сторонам, позволяющая нарушителю удалить или модифицировать произвольные файлы