一、漏洞详情
Gogs是一款轻量级、易搭建的自托管Git服务,采用Go语言开发,支持跨平台运行(包括Linux、Windows、Mac和ARM架构)。
近日,监测到官方修复Gogs远程命令注入漏洞(CVE-2024-56731),Gogs存在命令注入漏洞,其在CVE-2024-39931的补丁中仅添加了对路径是否为.git目录的检查,但未对后续步骤中的符号链接进行检查。远程非特权攻击者可通过创建指向.git目录的符号链接,进而重写.git目录下的任意文件,最终实现远程命令执行。可能导致服务器失陷或数据泄露。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Gogs < 0.13.3
三、修复建议
目前官方已有可更新版本,建议受影响用户升级至最新版本:
Gogs >= 0.13.3
