安全预警 | 代码托管服务系统 Gogs 和 Gitea 存在远程命令执行漏洞

近日，腾讯安全玄武实验室安全研究人员发现 Gogs 和 Gitea 存在远程命令执行漏洞（漏洞编号：CVE-2018-18925/CVE-2018-18926），攻击者可利用该漏洞进行远程命令执行攻击。

为避免您的服务器受影响，腾讯云安全提醒您注意及时开展安全自查以避免被恶意攻击者利用。

漏洞概述

Gogs 和 Gitea 是目前流行的自助 Git 服务，用于提供代码管理服务。

在默认安装部署的情况下，由于 Gogs 和 Gitea 对用户会话管理存在漏洞导致攻击者可以将注册普通用户提升为管理员账户权限，并执行系统命令。

漏洞危害

远程命令执行

影响版本

Gogs 目前 master 分支下的版本

Gitea 1.5.3 之前的版本

修复建议

Gogs 用户：develop 分支中已经更新漏洞修复代码，下载并安装。下载链接：https://github.com/gogs/gogs/tree/develop

Gitea 用户：下载并安装最新版本。下载链接：https://github.com/go-gitea/gitea/releases

参考链接

• https://github.com/gogs/gogs/issues/5469
• https://github.com/go-gitea/gitea/issues/5140