CVE-2025-64111
Gogs's update .git/config file allows remote command execution
Em resumo
O Gogs permite que atacantes modifiquem arquivos de configuração do Git através de uma solicitação web, possibilitando executar comandos arbitrários no servidor. É uma falha crítica que afeta versões antigas do serviço Git auto-hospedado.
Detalhe técnico
A vulnerabilidade explora validação insuficiente em operações de atualização de arquivos, permitindo modificação de arquivos .git/config através da interface web. Um atacante pode injetar comandos Git maliciosos que são executados com privilégios do servidor, resultando em execução remota de código. Versões anteriores a 0.13.4 e 0.14.0+dev são afetadas.
Resumo gerado e traduzido por IA a partir da descrição oficial.
Gogs is an open source self-hosted Git service. In version 0.13.3 and prior, due to the insufficient patch for CVE-2024-56731, it's still possible to update files in the .git directory and achieve remote command execution. This issue has been patched in versions 0.13.4 and 0.14.0+dev.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Produtos afetados
gogs · gogsQuer saber se a sua infraestrutura está exposta a isto?
Falar com a TrueHacking →