1. 墨知首页
  2. 漏洞

Gogs任意文件删除导致命令执行漏洞 (CVE-2024-56731)

漏洞
漏洞类型 对外部实体的文件或目录可访问 发现时间 2025-06-24 漏洞等级 严重
MPS编号 MPS-hiea-l3kn CVE编号 CVE-2024-56731 漏洞影响广度
目录 隐藏
1 漏洞危害
2 影响范围及处置方案
2.1 OSCS 平台影响范围和处置方案
3 排查方式

漏洞危害

OSCS 描述
Gogs是一款Go语言开发的开源托管Git服务/代码仓库。
在0.13.3版本之前,由于CVE-2024-39931的补丁未考虑删除文件时的符号链接场景,具有代码仓库普通用户权限的攻击者可通过符号链接绕过限制删除.git目录下HEAD等文件。
由于git的默认查找机制,仓库在删除.git/HEAD后,git会在上层目录中查找,当config中包含恶意系统命令,攻击者可实现远程命令执行,窃取其他用户仓库代码。
参考链接:https://www.oscs1024.com/hd/MPS-hiea-l3kn

影响范围及处置方案

OSCS 平台影响范围和处置方案

影响范围 处置方式 处置方法
gogs.io/gogs (-∞, 0.13.3) 升级 将组件 gogs.io/gogs 升级至 0.13.3 及以上版本
参考链接:https://www.oscs1024.com/hd/MPS-hiea-l3kn

排查方式

方式1:使用漏洞检测CLI工具来排查使用文档:https://www.murphysec.com/docs/faqs/integration/cli.html
方式2:使用漏洞检测IDEA插件排查使用文档:https://www.murphysec.com/docs/faqs/integration/jetbrains-ide-plugin.html
方式3:接入GitLab进行漏洞检测排查使用文档:https://www.murphysec.com/docs/faqs/integration/gitlab.html
更多排查方式:https://www.murphysec.com/docs/faqs/integration/

本文参考链接

https://www.oscs1024.com/hd/MPS-hiea-l3kn

https://nvd.nist.gov/vuln/detail/CVE-2024-56731

https://github.com/gogs/gogs/commit/77a4a945ae9a87f77e392e9066b560edb71b5de9

https://github.com/gogs/gogs/security/advisories/GHSA-wj44-9vcg-wjq7

https://www.sonarsource.com/blog/securing-developer-tools-unpatched-code-vulnerabilities-in-gogs-2/

(0)
上一篇 2025年6月25日 下午11:18
下一篇 2025年6月30日 下午4:23

相关推荐

  • ActiveMQ Jolokia 远程代码执行漏洞 (CVE-2026-34197) 漏洞

    ActiveMQ Jolokia 远程代码执行漏洞 (CVE-2026-34197)

    漏洞类型 代码注入 发现时间 2026-04-08 漏洞等级 高危 MPS编号 MPS-xwyr-fole CVE编号 CVE-2026-34197 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache ActiveMQ Classic 是 Apache Software Foundation 开源的 Java 消息中间件,用于构建 JMS 消息代理与系…

    2026年4月17日
    0
  • Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195) 漏洞

    Apache Airflow Spark Provider 反序列化漏洞 (CVE-2023-40195)

    漏洞类型 反序列化 发现时间 2023-08-29 漏洞等级 高危 MPS编号 MPS-qkdx-17bc CVE编号 CVE-2023-40195 漏洞影响广度 广 漏洞危害 OSCS 描述 Apache Airflow Spark Provider是Apache Airflow项目的一个插件,用于在Airflow中管理和调度Apache Spark作业。…

    2023年8月31日
    0
  • Apache ActiveMQ < 5.18.3 远程代码执行漏洞 (MPS-bd9c-7xsh) 漏洞

    Apache ActiveMQ < 5.18.3 远程代码执行漏洞 (MPS-bd9c-7xsh)

    漏洞类型 反序列化 发现时间 2023-10-25 漏洞等级 严重 MPS编号 MPS-bd9c-7xsh CVE编号 – 漏洞影响广度 一般 漏洞危害 OSCS 描述 Apache ActiveMQ 是美国阿帕奇(Apache)基金会的一套开源的消息中间件,它支持Java消息服务、集群、Spring Framework等。 ActiveMQ默认…

    2023年10月26日
    0
  • Redis RedisGraph 任意代码执行 (CVE-2023-47004) 漏洞

    Redis RedisGraph 任意代码执行 (CVE-2023-47004)

    漏洞类型 经典缓冲区溢出 发现时间 2023-11-07 漏洞等级 严重 MPS编号 MPS-pe54-zmc7 CVE编号 CVE-2023-47004 漏洞影响广度 一般 漏洞危害 OSCS 描述 Redis是一款将数据存储在磁盘上的内存数据库。RedisGraph是用于 Redis 的图形数据库模块(默认未安装该模块)。 Redis中RedisGrap…

    2023年11月7日
    0
  • XXL-RPC 任意代码执行操作 (CVE-2023-45146) 漏洞

    XXL-RPC 任意代码执行操作 (CVE-2023-45146)

    漏洞类型 反序列化 发现时间 2023-10-18 漏洞等级 高危 MPS编号 MPS-lv03-dtjx CVE编号 CVE-2023-45146 漏洞影响广度 一般 漏洞危害 OSCS 描述 XXL-RPC是一个基于Netty和Hessian的分布式远程调用框架。Hessian是在Java应用程序中进行对象序列化和反序列化的二进制序列化协议。 XXL-P…

    2023年10月19日
    0