Найти тему
3519 подписчиков

#news В популярном опенсорс-сервисе для хостинга репозиториев Gogs обнаружили четыре уязвимости, три из них критические. На инъекцию аргументов, удаление файлов и произвольные команды. При этом все четыре уязвимости требуют аутентификации от злоумышленника, и одна из них — дополнительные условия. Так что 9.9 по CVSS для критических звучит натянуто.


Между тем исследователи привели таймлайн взаимодействия с разработчиками Gogs, и выглядит он не очень. Об уязвимостях им сообщили ещё в апреле 2023-го, и с тех пор добиться ни внятной коммуникации, ни исправления багов не удалось. В итоге информация о CVE ушла на публикацию, а авторы исследования не только привели костыли для митигации, но и выпустили собственный патч. Поведение разработчиков, конечно, сомнительное, но с учётом того, что это опенсорс, можно предположить, что команда выглядит как на картинке. Это многое бы объяснило. Подробнее об уязвимостях в отчёте.

@tomhunter
#news В популярном опенсорс-сервисе для хостинга репозиториев Gogs обнаружили четыре уязвимости, три из них критические. На инъекцию аргументов, удаление файлов и произвольные команды.
Около минуты