Gogs任意文件删除导致命令执行漏洞 (CVE-2024-56731)

2025年6月27日下午3:35 • 漏洞

漏洞类型	对外部实体的文件或目录可访问	发现时间	2025-06-24	漏洞等级	严重
MPS编号	MPS-hiea-l3kn	CVE编号	CVE-2024-56731	漏洞影响广度

目录隐藏

2 影响范围及处置方案

2.1 OSCS 平台影响范围和处置方案

漏洞危害

OSCS 描述

Gogs是一款Go语言开发的开源托管Git服务/代码仓库。
在0.13.3版本之前，由于CVE-2024-39931的补丁未考虑删除文件时的符号链接场景，具有代码仓库普通用户权限的攻击者可通过符号链接绕过限制删除.git目录下HEAD等文件。
由于git的默认查找机制，仓库在删除.git/HEAD后，git会在上层目录中查找，当config中包含恶意系统命令，攻击者可实现远程命令执行，窃取其他用户仓库代码。
参考链接：https://www.oscs1024.com/hd/MPS-hiea-l3kn

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围	处置方式	处置方法
gogs.io/gogs (-∞, 0.13.3)	升级	将组件 gogs.io/gogs 升级至 0.13.3 及以上版本
参考链接：https://www.oscs1024.com/hd/MPS-hiea-l3kn

排查方式

方式1：使用漏洞检测CLI工具来排查使用文档：https://www.murphysec.com/docs/faqs/integration/cli.html

方式2：使用漏洞检测IDEA插件排查使用文档：https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html

方式3：接入GitLab进行漏洞检测排查使用文档：https://www.murphysec.com/docs/faqs/integration/gitlab.html

更多排查方式：https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-hiea-l3kn

https://nvd.nist.gov/vuln/detail/CVE-2024-56731

https://github.com/gogs/gogs/commit/77a4a945ae9a87f77e392e9066b560edb71b5de9

https://github.com/gogs/gogs/security/advisories/GHSA-wj44-9vcg-wjq7

https://www.sonarsource.com/blog/securing-developer-tools-unpatched-code-vulnerabilities-in-gogs-2/

CVE-2024-56731 漏洞

赞 (0)

pbkdf2 在node.js < 3.0 下生成固定密钥漏洞 (CVE-2025-6547)

上一篇 2025年6月25日下午11:18

Apache Seata < 2.3.0 raft反序列化漏洞

下一篇 2025年6月30日下午4:23

漏洞

glibc __vsyslog_internal 本地提权漏洞 (CVE-2023-6246)

漏洞类型缓冲区溢出发现时间 2024-01-31 漏洞等级高危 MPS编号 MPS-imzk-oyuj CVE编号 CVE-2023-6246 漏洞影响广度广漏洞危害 OSCS 描述 glibc（又名GNU C Library，libc6）是按照LGPL许可协议发布的开源免费C标准库。由于 __vsyslog_internal 函数未正确处理打印…

2024年2月1日
00
漏洞

NPM组件 @beacon-itx/react 等窃取主机敏感信息

【高危】NPM组件 @beacon-itx/react 等窃取主机敏感信息漏洞描述当用户安装受影响版本的 @beacon-itx/react 等NPM组件包时会窃取用户的主机名、用户名、工作目录、IP地址等信息并发送到攻击者可控的服务器地址。 MPS编号 MPS-vwdj-qi2a 处置建议强烈建议修复发现时间 2025-08-04 投毒仓库 npm…

2025年8月4日
00
漏洞

Google Chrome V8< 13.6.86 类型混淆漏洞

【高危】Google Chrome V8< 13.6.86 类型混淆漏洞漏洞描述 Google Chrome 是美国谷歌（Google）公司的一款Web浏览器，V8 是 Google 开发的高性能开源 JavaScript 和 WebAssembly 引擎，广泛应用于 Chrome 浏览器和 Node.js 等环境。受影响版本中，V8 Turbosh…

2025年7月15日
00
漏洞

OpenSSH <9.6 命令注入漏洞 (CVE-2023-51385)

漏洞类型 OS命令注入发现时间 2023-12-19 漏洞等级高危 MPS编号 MPS-9rip-l1u7 CVE编号 CVE-2023-51385 漏洞影响广度广漏洞危害 OSCS 描述 OpenSSH 是使用 SSH 协议进行远程登录的连接工具。在OpenSSH 9.6版本之前的ssh中，如果用户名或主机名中含有shell元字符（如 | &#8…

2023年12月20日
00
漏洞

django-filer 存储型XSS

漏洞类型 XSS 发现时间 2023/7/6 漏洞等级中危 MPS编号 MPS-umly-9j1t CVE编号 – 漏洞影响广度小漏洞危害 OSCS 描述 django-filer是一款django 的文件和图像管理应用程序。在受影响版本中由于django-filer 未对接收的SVG文件进行安全校验，如果受害者打开攻击者构造的恶意SVG文…

2023年8月30日
00