Уязвимость в платформе совместной разработки Gogs, позволяющая выполнить код на сервере
Дата публикации:Wed, 25 Jun 2025 10:43:25 +0300
В платформе совместной разработки Gogs выявлена уязвимость, которой присвоен критический уровень опасности (10 из 10). Уязвимость позволяет непривилегированному пользователю Gogs изменить исходный код других пользователей сервиса, а также выполнить произвольные команды на сервере с правами пользователя, указанного через параметр RUN_USER в конфигурации Gogs. Уязвимость устранена в обновлении Gogs 0.13.3. Проблема является следствием неполного исправления уязвимости CVE-2024-39931, раскрытой в декабре. Уязвимость не затрагивает платформы Forgejo и Gitea, продолжающие развитие форка Gogs, созданного в 2016 году.
Уязвимость вызвана возможностью манипуляции файлами в каталоге .git из web-редактора репозиториев. При исправлении уязвимости в декабре была добавлена проверка загрузки файлов в каталог .git, но осталась не полностью блокирована возможность удаления файлов. В частности, при удалении проверялось совпадение файлового пути с каталогом .git, но не выполнялись проверки символических ссылок. Для обхода добавленной проверки достаточно было создать символическую ссылку, указывающую на каталог .git, и в дальнейшем использовать эту ссылку для удаления содержимого, вместо прямого обращения к каталогу .git.
Новость позаимствована с opennet.ru
Ссылка на оригинал: https://www.opennet.ru/opennews/art.shtml?num=63460