這期內(nèi)容當(dāng)中小編將會給大家?guī)碛嘘P(guān)Gogs/Gitea遠(yuǎn)程命令執(zhí)行漏洞是怎樣的，文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述，閱讀完這篇文章希望大家可以有所收獲。

創(chuàng)新互聯(lián)是一家專業(yè)提供洞口企業(yè)網(wǎng)站建設(shè),專注與成都做網(wǎng)站、網(wǎng)站設(shè)計、H5頁面制作、小程序制作等業(yè)務(wù)。10年已為洞口眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)絡(luò)公司優(yōu)惠進(jìn)行中。

0x00 漏洞背景

11月05日，玄武實驗室研究人員發(fā)現(xiàn)Gogs 和 Gitea存在遠(yuǎn)程命令執(zhí)行漏洞并發(fā)布安全報告 (漏洞編號：CVE-2018-18925/6)。

Gogs（又名Go Git Service）是Gogs團(tuán)隊開發(fā)的一個基于Go語言的自助Git托管服務(wù)，它支持創(chuàng)建、遷移公開/私有倉庫，添加、刪除倉庫協(xié)作者等，而Gitea是Gogs的一個分支，隨之也受到影響。

0x01 漏洞描述

在默認(rèn)安裝部署的情況下，由于Gogs 和 Gitea對用戶會話管理存在漏洞導(dǎo)致攻擊者可以將注冊普通用戶提升為管理員賬戶權(quán)限,并通過git hooks執(zhí)行任意命令。

0x02 漏洞影響面

影響版本

Gogs 0.11.66及之前的版本

Gitea 1.5.3及之前的版本

0x03 修復(fù)方案

Gogs可至Github下載編譯develop分支，在該分支中此漏洞已經(jīng)修復(fù)。

Gitea更至1.5.4版本即可

上述就是小編為大家分享的Gogs/Gitea遠(yuǎn)程命令執(zhí)行漏洞是怎樣的了，如果剛好有類似的疑惑，不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道。

標(biāo)題名稱：Gogs/Gitea遠(yuǎn)程命令執(zhí)行漏洞是怎樣的
文章位置：http://aaarwkj.com/article6/jesoog.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供企業(yè)網(wǎng)站制作、、企業(yè)建站、全網(wǎng)營銷推廣、品牌網(wǎng)站制作、網(wǎng)站內(nèi)鏈

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)