一、漏洞详情
Gogs是一款使用Go语言开发的开源自托管Git服务平台,可用于搭建企业或个人代码托管系统。
近日,监测到Gogs路径遍历远程代码执行漏洞。该漏洞存在于internal/database/org.go等相关代码中,由于系统未对组织名称中的路径遍历序列进行严格校验,导致仓库可被创建到预期目录之外。攻击者可构造恶意组织名称,将嵌套Git仓库写入其他仓库的本地工作目录,篡改hooks/update等Git Hooks脚本并触发执行,从而以Gogs服务进程身份执行任意命令。
建议受影响用户做好资产自查以及预防工作,以免遭受黑客攻击。
二、影响范围
Gogs < 0.14.3
三、修复建议
官方已发布安全补丁,请及时更新至安全版本。
Gogs >= 0.14.3