报告编号：B6-2018-110501

报告来源：360-CERT

报告作者：360-CERT

更新日期：2018-11-05

0x01 漏洞背景

11月05日，玄武实验室研究人员发现Gogs 和 Gitea存在远程命令执行漏洞并发布安全报告 (漏洞编号：CVE-2018-18925/6)。

Gogs（又名Go Git Service）是Gogs团队开发的一个基于Go语言的自助Git托管服务，它支持创建、迁移公开/私有仓库，添加、删除仓库协作者等，而Gitea是Gogs的一个分支，随之也受到影响。

0x02 漏洞描述

在默认安装部署的情况下，由于Gogs 和 Gitea对用户会话管理存在漏洞导致攻击者可以将注册普通用户提升为管理员账户权限,并通过git hooks执行任意命令。

0x03 漏洞影响面

影响版本

Gogs 0.11.66及之前的版本

Gitea 1.5.3及之前的版本

0x04 修复方案

Gogs可至Github下载编译develop分支，在该分支中此漏洞已经修复。

Gitea更至1.5.4版本即可

0x05 时间线

2018-11-05 玄武实验室发布安全报告

2018-11-05 Gogs develop分支和Gitea修复安全问题

2018-11-05 360CERT发布预警通告

0x06 参考链接

1.https://nvd.nist.gov/vuln/detail/CVE-2018-18925

2.https://nvd.nist.gov/vuln/detail/CVE-2018-18926

3.https://github.com/gogs/gogs/issues/5469

4.https://github.com/go-gitea/gitea/issues/5140