CVE-2018-18925/6 Gogs/Gitea 远程命令执行漏洞
2018-11-05 20:13
报告编号:B6-2018-110501
报告来源:360-CERT
报告作者:360-CERT
更新日期:2018-11-05
0x01 漏洞背景
11月05日,玄武实验室研究人员发现Gogs 和 Gitea存在远程命令执行漏洞并发布安全报告 (漏洞编号:CVE-2018-18925/6)。
Gogs(又名Go Git Service)是Gogs团队开发的一个基于Go语言的自助Git托管服务,它支持创建、迁移公开/私有仓库,添加、删除仓库协作者等,而Gitea是Gogs的一个分支,随之也受到影响。
0x02 漏洞描述
在默认安装部署的情况下,由于Gogs 和 Gitea对用户会话管理存在漏洞导致攻击者可以将注册普通用户提升为管理员账户权限,并通过git hooks执行任意命令。
0x03 漏洞影响面
影响版本
Gogs 0.11.66及之前的版本
Gitea 1.5.3及之前的版本
0x04 修复方案
Gogs可至Github下载编译develop分支,在该分支中此漏洞已经修复。
Gitea更至1.5.4版本即可
0x05 时间线
2018-11-05 玄武实验室发布安全报告
2018-11-05 Gogs develop分支和Gitea修复安全问题
2018-11-05 360CERT发布预警通告
0x06 参考链接
1.https://nvd.nist.gov/vuln/detail/CVE-2018-18925
2.https://nvd.nist.gov/vuln/detail/CVE-2018-18926