CRITICAL✓ PATCH🇬🇧 English

CVE-2024-39930

Argument injection w serwerze SSH Gogs prowadzący do RCE

CVSS 9.9v3.1pub. 2024-07-04upd. 2025-04-11

Wbudowany serwer SSH w Gogs do wersji 0.13.0 zawiera podatność typu argument injection, która umożliwia zdalne wykonanie kodu (RCE). Zagrożenie jest krytyczne, ponieważ uwierzytelniony atakujący może przejąć kontrolę nad serwerem bez konieczności posiadania wysokich uprawnień.

Pokaż oryginał (EN)

The built-in SSH server of Gogs through 0.13.0 allows argument injection in internal/ssh/ssh.go, leading to remote code execution. Authenticated attackers can exploit this by opening an SSH connection and sending a malicious --split-string env request if the built-in SSH server is activated. Windows installations are unaffected.

🤖 Analiza AI
Jak działa

Podatność (CWE-88) tkwi w pliku internal/ssh/ssh.go wbudowanego serwera SSH. Uwierzytelniony atakujący nawiązuje połączenie SSH z serwerem Gogs i wysyła specjalnie spreparowane żądanie zawierające złośliwy parametr --split-string w ramach zmiennej środowiskowej env. Nieprawidłowa obsługa argumentów pozwala na wstrzyknięcie dodatkowych poleceń, które są następnie wykonywane po stronie serwera. Podatność dotyczy wyłącznie instalacji z aktywnym wbudowanym serwerem SSH; instalacje na systemie Windows nie są zagrożone.

Skutki

Pomyślne wykorzystanie podatności pozwala atakującemu na zdalne wykonanie dowolnego kodu (RCE) w kontekście serwera, co może skutkować pełnym przejęciem systemu, kradzieżą danych repozytoriów oraz naruszeniem poufności, integralności i dostępności całej instancji Gogs.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (strona wydań projektu Gogs: https://github.com/gogs/gogs/releases). Jako obejście, jeśli aktualizacja nie jest możliwa natychmiast, należy wyłączyć wbudowany serwer SSH w konfiguracji Gogs.

Kogo dotyczy

Gogs w wersjach do 0.13.0 włącznie, wyłącznie na instalacjach innych niż Windows, z aktywnym wbudowanym serwerem SSH

Uwagi

Podatność została opisana przez badaczy SonarSource. Instalacje Gogs na systemie Windows nie są podatne. Koniecznym warunkiem exploitation jest posiadanie konta użytkownika w instancji Gogs oraz aktywny wbudowany serwer SSH (nie dotyczy konfiguracji korzystających z systemowego serwera SSH).

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
  • Gogs

    APP
    Gogs
    ≤ 0.13.0
🟢
PATCH DOSTĘPNY
Aktualizacja od producenta gotowa. Wdrożenie w ramach standardowego cyklu.
Tagi
RCE
CWE
Referencje

Powiązane podatności

CVE-2026-25921CRITICAL9.3PL ✓ten sam produkt

Gogs: nadpisywanie obiektów LFS między repozytoriami – atak na łańcuch dostaw

CVE-2025-64111CRITICAL9.3PL ✓ten sam produkt

Gogs: ominięcie patcha CVE-2024-56731 umożliwia RCE przez .git

CVE-2024-56731CRITICAL10.0PL ✓ten sam produkt

Gogs: RCE przez usuwanie plików w katalogu .git (bypass patcha CVE-2024-39931)

CVE-2022-1884CRITICAL9.8PL ✓ten sam produkt

RCE w Gogs poprzez command injection w parametrze tree_path (Windows)

CVE-2024-39931CRITICAL9.9PL ✓ten sam produkt

Gogs – nieautoryzowane usuwanie plików wewnętrznych (CWE-552)