Impatto Sistemico

Critico (77.94)

Sintesi

Aggiornamenti di sicurezza risolvono diverse vulnerabilità in Gogs, un popolare servizio Git self-hosted, tra le quali si evidenzia una vulnerabilità zero-day per la quale risulta disponibile un Proof of Concept (PoC).

Tipologia

• Remote Code Execution
• Arbitrary File Write
• Privilege escalation
• Security Restriction Bypass
• Spoofing

Descrizione e potenziali impatti

Nel dettaglio, la vulnerabilità zero-day per la quale è disponibile un Proof of Concept (PoC) – di tipo “ Remote Code Execution ” – riguardante Gogs, è causata da una gestione non sicura dei nomi dei branch nella fase “ Rebase before merging ”. Tale vulnerabilità potrebbe consentire l’iniezione di opzioni arbitrarie nel comando git rebase , incluse opzioni come –exec , permettendo così a un utente remoto malintenzionato, tramite richieste opportunamente predisposte, di eseguire codice arbitrario sui sistemi interessati.

Prodotti e/o versioni affette

Gogs, versioni precedenti alla 0.14.3

Azioni di mitigazione

Ove non provveduto, si raccomanda di aggiornare tempestivamente i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.