1. 墨知首页
  2. 漏洞

Gogs任意文件删除导致命令执行漏洞 (CVE-2024-56731)

漏洞
漏洞类型 对外部实体的文件或目录可访问 发现时间 2025-06-24 漏洞等级 严重
MPS编号 MPS-hiea-l3kn CVE编号 CVE-2024-56731 漏洞影响广度
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Gogs是一款Go语言开发的开源托管Git服务/代码仓库。
在0.13.3版本之前,由于CVE-2024-39931的补丁未考虑删除文件时的符号链接场景,具有代码仓库普通用户权限的攻击者可通过符号链接绕过限制删除.git目录下HEAD等文件。
由于git的默认查找机制,仓库在删除.git/HEAD后,git会在上层目录中查找,当config中包含恶意系统命令,攻击者可实现远程命令执行,窃取其他用户仓库代码。
参考链接:https://www.oscs1024.com/hd/MPS-hiea-l3kn

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
gogs.io/gogs (-∞, 0.13.3) 升级 将组件 gogs.io/gogs 升级至 0.13.3 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-hiea-l3kn

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-hiea-l3kn

https://nvd.nist.gov/vuln/detail/CVE-2024-56731

https://github.com/gogs/gogs/commit/77a4a945ae9a87f77e392e9066b560edb71b5de9

https://github.com/gogs/gogs/security/advisories/GHSA-wj44-9vcg-wjq7

https://www.sonarsource.com/blog/securing-developer-tools-unpatched-code-vulnerabilities-in-gogs-2/

(0)
上一篇 2025年6月25日 下午11:18
下一篇 2025年6月30日 下午4:23

相关推荐

  • Apache Ivy<2.5.2 存在XXE漏洞 (CVE-2022-46751) 漏洞

    Apache Ivy<2.5.2 存在XXE漏洞 (CVE-2022-46751)

    漏洞类型 输入验证不恰当 发现时间 2023-08-21 漏洞等级 中危 MPS编号 MPS-2022-67125 CVE编号 CVE-2022-46751 漏洞影响广度 极小 漏洞危害 OSCS 描述 Apache Ivy 是一个管理基于 ANT 项目依赖关系的开源工具,文档类型定义(DTD)是一种文档类型定义语言,它用于定义XML文档中所包含的元素以及元…

    2023年8月22日
    0
  • SSH协议前缀截断攻击(Terrapin攻击) (CVE-2023-48795) 漏洞

    SSH协议前缀截断攻击(Terrapin攻击) (CVE-2023-48795)

    漏洞类型 安全相关信息的截断 发现时间 2023-12-19 漏洞等级 中危 MPS编号 MPS-nv0f-qtib CVE编号 CVE-2023-48795 漏洞影响广度 广 漏洞危害 OSCS 描述 SSH是流行的加密安全传输协议,可在不安全的网络中为网络服务提供安全的传输环境。 Fabian Bäumer等人发现SSH标准中的ChaCha20-Poly…

    2023年12月21日
    0

  • Apache HugeGraph-Server<1.3.0 Gremlin命令执行漏洞 (CVE-2024-27348)

    漏洞类型 代码注入 发现时间 2024-04-22 漏洞等级 中危 MPS编号 MPS-5hs6-vtei CVE编号 CVE-2024-27348 漏洞影响广度 小 漏洞危害 OSCS 描述 Apache HugeGraph-Server 是一个开源大规模图数据库管理系统。Gremlin 用于在图数据库上进行数据查询和操作。 由于1.0.0到1.3.0版本…

    漏洞 2024年4月24日
    0
  • Gitlab preview_markdown端点存在ReDos漏洞(CVE-2023-3424) 漏洞

    Gitlab preview_markdown端点存在ReDos漏洞(CVE-2023-3424)

    漏洞类型 ReDoS 发现时间 2023/6/30 漏洞等级 高危 MPS编号 MPS-o8z4-ikvq CVE编号 CVE-2023-3424 漏洞影响广度 广 漏洞危害 OSCS 描述 GitLab 是一个开源的代码托管平台。受影响版本中由于 EpicReferenceFilter 未对 Markdown 字段有效过滤,攻击者可将恶意负载发送到 pre…

    2023年8月31日
    0
  • Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243绕过) (CVE-2024-22259) 漏洞

    Spring Web UriComponentsBuilder URL解析不当漏洞(CVE-2024-22243绕过) (CVE-2024-22259)

    漏洞类型 SSRF 发现时间 2024-03-14 漏洞等级 高危 MPS编号 MPS-vhl4-ut8e CVE编号 CVE-2024-22259 漏洞影响广度 广 漏洞危害 OSCS 描述 Spring Framework 是一个开源的Java应用程序框架,UriComponentsBuilder是Spring Web中用于构建和操作URI的工具类。 由…

    2024年3月15日
    0