Gogs — это самостоятельная служба Git с открытым исходным кодом. До версии 0.14.2 перезапись объекта LFS в разных репозиториях приводила к атаке в цепочке поставок; все объекты LFS уязвимы для злонамеренной перезаписи злоумышленниками. Эта проблема исправлена в версии 0.14.2.
Показать оригинальное описание (EN)
Gogs is an open source self-hosted Git service. Prior to version 0.14.2, overwritable LFS object across different repos leads to supply-chain attack, all LFS objects are vulnerable to be maliciously overwritten by malicious attackers. This issue has been patched in version 0.14.2.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Низкое
Частичное нарушение работы
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gogs Gogs
cpe:2.3:a:gogs:gogs:*:*:*:*:*:*:*:*
|
— |
0.14.2
|
Ссылки 4
https://github.com/gogs/gogs/commit/81ee8836445ac888d99da8b652be7d5cbc5c4d5c
security-advisories@github.com
https://github.com/gogs/gogs/pull/8166
security-advisories@github.com
https://github.com/gogs/gogs/releases/tag/v0.14.2
security-advisories@github.com
https://github.com/gogs/gogs/security/advisories/GHSA-cj4v-437j-jq4c
security-advisories@github.com