Una vulnerabilità in a piattaforma di sviluppu collaborativu di Gogs permette l'esecuzione di codice nantu à u servitore

Una vulnerabilità hè stata identificata in a piattaforma di sviluppu collaborativu Gogs è li hè statu assignatu un livellu di gravità criticu (10 su 10). A vulnerabilità permette à un utilizatore Gogs senza privilegi di mudificà u codice surghjente di altri utilizatori di u serviziu, è ancu di eseguisce cumandamenti arbitrarii nantu à u servitore cù i diritti di l'utilizatore specificati via u parametru RUN_USER in a cunfigurazione di Gogs. A vulnerabilità hè stata corretta in l'aghjurnamentu Gogs 0.13.3. U prublema hè una cunsequenza di una correzione incompleta per a vulnerabilità CVE-2024-39931, divulgata in dicembre. A vulnerabilità ùn affetta micca e piattaforme Forgejo è Gitea, chì cuntinueghjanu à sviluppà a furchetta Gogs creata in u 2016.

A vulnerabilità hè causata da a capacità di manipulà i fugliali in u cartulare .git da l'editore di u repositoriu web. Quandu a vulnerabilità hè stata riparata in dicembre, hè stata aghjunta una verificazione per u caricamentu di fugliali in u cartulare .git, ma a capacità di sguassà i fugliali ùn era micca cumpletamente bluccata. In particulare, durante a cancellazione, u percorsu di u fugliale hè statu verificatu per currisponde à u cartulare .git, ma i ligami simbolichi ùn sò stati verificati. Per saltà a verificazione aghjunta, era abbastanza per creà un ligame simbolicu chì puntava à u cartulare .git è dopu aduprà stu ligame per sguassà u cuntenutu, invece di accede direttamente à u cartulare .git.

Source: opennet.ru

Cumprate un hosting affidabile per i siti cù prutezzione DDoS, servitori VPS VDS 🔥 Cumprate un hosting di siti web affidabile cù prutezzione DDoS, servitori VPS VDS | ProHoster