Gogs — это самостоятельная служба Git с открытым исходным кодом. До версии 0.14.2 в функциях комментариев и описания проблем существовала уязвимость хранимого межсайтового скриптинга (XSS). Дезинфицирующее средство HTML приложения явно разрешает схемы data: URI, позволяющие аутентифицированным пользователям внедрять произвольное выполнение JavaScript через вредоносные ссылки.
Эта проблема исправлена в версии 0.14.2.
Показать оригинальное описание (EN)
Gogs is an open source self-hosted Git service. Prior to version 0.14.2, a stored cross-site scripting (XSS) vulnerability exists in the comment and issue description functionality. The application's HTML sanitizer explicitly allows data: URI schemes, enabling authenticated users to inject arbitrary JavaScript execution via malicious links. This issue has been patched in version 0.14.2.
Характеристики атаки
Последствия
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gogs Gogs
cpe:2.3:a:gogs:gogs:*:*:*:*:*:*:*:*
|
— |
0.14.2
|