Gogs — это самостоятельная служба Git с открытым исходным кодом. До версии 0.14.2 сохранение xss все еще возможно посредством небезопасного рендеринга шаблонов, который сочетает пользовательский ввод с безопасной и разрешающей дезинфицирующей обработкой URL-адресов данных. Эта проблема исправлена в версии 0.14.2.
Показать оригинальное описание (EN)
Gogs is an open source self-hosted Git service. Prior to version 0.14.2, stored xss is still possible through unsafe template rendering that mixes user input with safe plus permissive sanitizer handling of data urls. This issue has been patched in version 0.14.2.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v4.0
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Gogs Gogs
cpe:2.3:a:gogs:gogs:*:*:*:*:*:*:*:*
|
— |
0.14.2
|
Ссылки 4
https://github.com/gogs/gogs/commit/ac21150a53bef3a3061f4da787ab193a8d68ecfc
security-advisories@github.com
https://github.com/gogs/gogs/pull/8176
security-advisories@github.com
https://github.com/gogs/gogs/releases/tag/v0.14.2
security-advisories@github.com
https://github.com/gogs/gogs/security/advisories/GHSA-vgvf-m4fw-938j
security-advisories@github.com