1. 墨知首页
  2. 漏洞

Gogs任意文件删除导致命令执行漏洞 (CVE-2024-56731)

漏洞
漏洞类型 对外部实体的文件或目录可访问 发现时间 2025-06-24 漏洞等级 严重
MPS编号 MPS-hiea-l3kn CVE编号 CVE-2024-56731 漏洞影响广度
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Gogs是一款Go语言开发的开源托管Git服务/代码仓库。
在0.13.3版本之前,由于CVE-2024-39931的补丁未考虑删除文件时的符号链接场景,具有代码仓库普通用户权限的攻击者可通过符号链接绕过限制删除.git目录下HEAD等文件。
由于git的默认查找机制,仓库在删除.git/HEAD后,git会在上层目录中查找,当config中包含恶意系统命令,攻击者可实现远程命令执行,窃取其他用户仓库代码。
参考链接:https://www.oscs1024.com/hd/MPS-hiea-l3kn

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
gogs.io/gogs (-∞, 0.13.3) 升级 将组件 gogs.io/gogs 升级至 0.13.3 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-hiea-l3kn

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-hiea-l3kn

https://nvd.nist.gov/vuln/detail/CVE-2024-56731

https://github.com/gogs/gogs/commit/77a4a945ae9a87f77e392e9066b560edb71b5de9

https://github.com/gogs/gogs/security/advisories/GHSA-wj44-9vcg-wjq7

https://www.sonarsource.com/blog/securing-developer-tools-unpatched-code-vulnerabilities-in-gogs-2/

(0)
上一篇 2025年6月25日 下午11:18
下一篇 2025年6月30日 下午4:23

相关推荐

  • Apache Struts2 存在远程代码执行漏洞 (CVE-2023-50164) 漏洞

    Apache Struts2 存在远程代码执行漏洞 (CVE-2023-50164)

    漏洞类型 对外部实体的文件或目录可访问 发现时间 2023-12-07 漏洞等级 严重 MPS编号 MPS-5qa9-hjgt CVE编号 CVE-2023-50164 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Struts是美国阿帕奇(Apache)基金会的开源Web项目,是一套用于创建企业级Java Web应用的开源MVC框架。 在受影响…

    2023年12月8日
    0

  • FFmpeg < 7.0 释放后使用漏洞 (CVE-2024-31578)

    漏洞类型 UAF 发现时间 2024-04-17 漏洞等级 高危 MPS编号 MPS-y94m-eo71 CVE编号 CVE-2024-31578 漏洞影响广度 一般 漏洞危害 OSCS 描述 FFmpeg 是处理多媒体内容的开源库和工具的集合。 FFmpeg < 7.0 版本中,由于av_hwframe_ctx_init函数中错误地假设frames_uni...

    漏洞 2024年4月22日
    0

  • IP-guard WebServer < 4.82.0609.0任意文件读取漏洞【PoC公开】 (MPS-5ag1-ycm0)

    漏洞类型 未授权敏感信息泄露 发现时间 2024-04-16 漏洞等级 严重 MPS编号 MPS-5ag1-ycm0 CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 IP-guard是溢信科技推出的终端数据安全防护软件。 IP-guard WebServer < 4.82.0609.0存在任意文件读取漏洞,由于服务器端的脚本(vie...

    漏洞 2024年4月16日
    0
  • Reactor Netty HTTP Server 路径穿越漏洞 (CVE-2023-34062) 漏洞

    Reactor Netty HTTP Server 路径穿越漏洞 (CVE-2023-34062)

    漏洞类型 路径遍历 发现时间 2023-11-16 漏洞等级 高危 MPS编号 MPS-4391-uwmo CVE编号 CVE-2023-34062 漏洞影响广度 一般 漏洞危害 OSCS 描述 Netty 是一个用于开发Java网络应用程序的非阻塞 I/O框架,Reactor Netty是基于Netty框架的非阻塞请求客户端与服务端。 Reactor Ne…

    2023年11月17日
    0
  • pimcore/pimcore <10.5.22 存在路径遍历漏洞 (CVE-2023-2984) 漏洞

    pimcore/pimcore <10.5.22 存在路径遍历漏洞 (CVE-2023-2984)

    漏洞类型 路径遍历 发现时间 2023/5/31 漏洞等级 高危 MPS编号 MPS-65b9-qpxd CVE编号 CVE-2023-2984 漏洞影响广度 一般 漏洞危害 OSCS 描述 pimcore/pimcore 是一个开源的多功能企业级内容管理系统 (CMS) 和数据管理平台。pimcore/pimcore 10.5.22版本之前版本中由于 Pi…

    2023年8月31日
    0