Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Gitサーバ「Gogs」に複数の深刻な脆弱性 - アップデートで修正

GoベースのGitサーバ「Gogs」に複数の深刻な脆弱性が判明した。アップデートで修正されている。

あわせて6件の脆弱性が明らかとなったもの。「CVE-2024-39930」は、組み込みの「SSHサーバ」に明らかとなった引数インジェクションの脆弱性で、リモートよりコードの実行が可能となる。Windows以外の環境が脆弱性の影響を受けるとしている。

さらに内部ファイルの削除が可能となる「CVE-2024-39931」や、変更のプレビュー中に引数を挿入できる「CVE-2024-39932」などが判明した。

これら3件の脆弱性については、CVE番号を採番したMITERにおいて共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.9」と評価されており、重要度が4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。

またパストラバーサルの脆弱性「CVE-2024-55947」「CVE-2024-54148」も明らかとなっている。CVE番号を採番したGitHubではCVSS基本値をともに「8.7」としているが、リポジトリ上の重要度は「クリティカル(Critical)」とレーティングされている。

(Security NEXT - 2024/12/26 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

中学校でサポート詐欺被害、端末内部に個人情報 - 石垣市
サーバ管理ソフトの脆弱性突かれ、不正アクセス被害 - アイコムソフト
国内ISPのメールアカウント乗っ取りに注意 - 便乗攻撃にも警戒を
メッセージアプリが標的、要人狙う露フィッシング - 米当局
サポートツール「SimpleHelp」の脆弱性悪用を確認 - 米当局が注意喚起
メルアカに不正アクセス、個人情報流出の可能性 - オークション事業者
4部署で公文書ファイルが所在不明、誤廃棄の可能性 - 三重県
患者向けの台風注意喚起メールで誤送信 - 磐田市立病院
VPN経由でサイバー攻撃、ランサム被害が発生 - D&M
「GitLab」にセキュリティ更新 - 脆弱性13件を修正