近日,腾讯安全玄武实验室安全研究人员发现?Gogs?和?Gitea?存在远程命令执行漏洞(漏洞编号:CVE-2018-18925/CVE-2018-18926),攻击者可利用该漏洞进行远程命令执行攻击。
为避免您的服务器受影响,腾讯云安全提醒您注意及时开展安全自查以避免被恶意攻击者利用。
漏洞概述
Gogs?和?Gitea?是目前流行的自助?Git?服务,用于提供代码管理服务。
在默认安装部署的情况下,由于?Gogs?和?Gitea?对用户会话管理存在漏洞导致攻击者可以将注册普通用户提升为管理员账户权限,并执行系统命令。
漏洞危害
远程命令执行
影响版本
Gogs?目前?master?分支下的版本
Gitea?1.5.3?之前的版本
修复建议
Gogs?用户:develop?分支中已经更新漏洞修复代码,下载并安装。下载链接:https://github.com/gogs/gogs/tree/develop
Gitea?用户:下载并安装最新版本。下载链接:https://github.com/go-gitea/gitea/releases
参考链接