Kritična RCE u Gogs omogućava izvršavanje proizvoljnog koda

Kolege, želim skrenuti pažnju: u oblasti sajber bezbednosti otkrivena je kritična RCE u Gogs.
Kratko:
- Rapid7: kreiranje PR sa zlonamernim imenom grane ubacuje --exec u git rebase pri „Rebase before merging“.
- Za napad nisu potrebna administratorska prava — dovoljno je registrovati se i kreirati repozitorijum sa podrazumevanim podešavanjima.
- Mogući posledice: kompromitacija servera, pristup repozitorijumima, curenje akreditiva i međulejtenant curenja.
Preporuke:
- Onemogućiti registraciju i/ili ograničiti kreiranje repozitorijuma;
- Proveriti/onemogućiti rebase-spajanje i izvršiti reviziju logova.
Zašto je važno: ranjivost pogađa sve platforme i opasna je za infrastrukturu.
Koje mere Vi planirate?
#kiberbezbednost #Gogs #RCE #DevSecOps


Poslednji komentari
Još nema komentara.