12月23日基于Git而成的程序代码管理系统Gogs发布0.13.2版,总共修补了6项漏洞,值得留意的是,其中有3项CVSS风险评分达到10分(满分10分)的弱点,开发人员应尽快套用更新。
这些漏洞分别是:SSH服务器参数注入漏洞CVE-2024-39930、内部文件删除漏洞CVE-2024-39931,以及参数注入变更预览漏洞CVE-2024-39932。
其中,CVE-2024-39930涉及内置的SSH服务器组件,一旦此组件激活,攻击者就有机会借由未具备特殊权限的用户账号及SSH密钥,在Gogs服务器以特殊权限执行任意命令。此外,这项漏洞也让攻击者有机会取得用户托管的程序代码。
另一项漏洞CVE-2024-39931,也与CVE-2024-39930具备类似的破坏威力,同样能允许攻击者以非特权账号,在Gogs服务器以特殊权限执行任意命令,或是取得用户托管的程序代码。
第3个危险程度满分的漏洞CVE-2024-39932则是涉及文件系统,攻击者可利用不具特权的用户账号写入任意文件,通报此事的研究人员指出,他们可借此漏洞强制重新安装Gogs、取得管理员权限。此外,攻击者不仅能访问用户的程序代码,甚至能进一步篡改内容。
值得留意的是,除了CVE-2024-39930,其余两个漏洞目前并无缓解措施能够应对。
