Una vulnerabilità hè stata identificata in a piattaforma di sviluppu collaborativu Gogs è li hè statu assignatu un livellu di gravità criticu (10 su 10). A vulnerabilità permette à un utilizatore Gogs senza privilegi di mudificà u codice surghjente di altri utilizatori di u serviziu, è ancu di eseguisce cumandamenti arbitrarii nantu à u servitore cù i diritti di l'utilizatore specificati via u parametru RUN_USER in a cunfigurazione di Gogs. A vulnerabilità hè stata corretta in l'aghjurnamentu Gogs 0.13.3. U prublema hè una cunsequenza di una correzione incompleta per a vulnerabilità CVE-2024-39931, divulgata in dicembre. A vulnerabilità ùn affetta micca e piattaforme Forgejo è Gitea, chì cuntinueghjanu à sviluppà a furchetta Gogs creata in u 2016.
A vulnerabilità hè causata da a capacità di manipulà i fugliali in u cartulare .git da l'editore di u repositoriu web. Quandu a vulnerabilità hè stata riparata in dicembre, hè stata aghjunta una verificazione per u caricamentu di fugliali in u cartulare .git, ma a capacità di sguassà i fugliali ùn era micca cumpletamente bluccata. In particulare, durante a cancellazione, u percorsu di u fugliale hè statu verificatu per currisponde à u cartulare .git, ma i ligami simbolichi ùn sò stati verificati. Per saltà a verificazione aghjunta, era abbastanza per creà un ligame simbolicu chì puntava à u cartulare .git è dopu aduprà stu ligame per sguassà u cuntenutu, invece di accede direttamente à u cartulare .git.
Source: opennet.ru
