FSA-2020-3 Schwachstelle in Gitea 1.12.6 und Gogs 0.12.2
Ausführung von Code nach Authentifizierung ermöglicht
Forschungsschwerpunkt: Safety, Security and the Law
Wissenschaftliche Mitarbeiter des Kompetenzzentrums IT-Sicherheit haben eine Schwachstelle in den Softwareprojekten Gitea und Gogs entdeckt.
Eine Schwachstelle in den Softwareprojekten Gitea und Gogs, die zum Betreiben von Versionsverwaltungssystemen mit Git genutzt werden, ermöglicht einem Angreifer mit Zugriff auf ein Administratorkonto oder ein Nutzerkonto mit speziellen Rechten, das Ausführen von beliebigem Programmcode auf dem Server. Den Schwachstellen wurden die CVE-Nummern CVE-2020-14144 und CVE-2020-15867 zugewiesen. Das Deaktivieren von Git-Hooks in Gitea behebt die Schwachstelle. Die Möglichkeit zur Deaktivierung von Git-Hooks soll in Gogs mit Version 0.13 folgen.
Der vollständige Bericht steht zum Download zur Verfügung (Englisch).