Gitサーバ「Gogs」に複数の深刻な脆弱性 - アップデートで修正

GoベースのGitサーバ「Gogs」に複数の深刻な脆弱性が判明した。アップデートで修正されている。

あわせて6件の脆弱性が明らかとなったもの。「CVE-2024-39930」は、組み込みの「SSHサーバ」に明らかとなった引数インジェクションの脆弱性で、リモートよりコードの実行が可能となる。Windows以外の環境が脆弱性の影響を受けるとしている。

さらに内部ファイルの削除が可能となる「CVE-2024-39931」や、変更のプレビュー中に引数を挿入できる「CVE-2024-39932」などが判明した。

これら3件の脆弱性については、CVE番号を採番したMITERにおいて共通脆弱性評価システム「CVSSv3.1」のベーススコアが「9.9」と評価されており、重要度が4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

またパストラバーサルの脆弱性「CVE-2024-55947」「CVE-2024-54148」も明らかとなっている。CVE番号を採番したGitHubではCVSS基本値をともに「8.7」としているが、リポジトリ上の重要度は「クリティカル（Critical）」とレーティングされている。

（Security NEXT - 2024/12/26 ） ツイート

PR

関連記事

複数選挙区において選挙関係書類の誤廃棄が判明 - 神戸市
要配慮個人情報含むUSBメモリを紛失 - 増田医科器械
フィッシング報告が約7割減 - 2年ぶりに5万件台
前月を上回る200件のDDoS攻撃を2月に観測 - IIJレポート
ルータなどバッファロー製46モデルに脆弱性 - 一部サポート終了も
サイバー攻撃でシステム障害、影響調査や復旧進める - コタ
テキストエディタ「Vim」に脆弱性 - 細工ファイル開くとコード実行
「NetScaler ADC/Gateway」の脆弱性悪用を確認 - 米当局が注意喚起
APIキーが外部流出、フィッシングメールの踏み台に - SaveExpats
消防本部で個人情報含む救急活動記録票を紛失 - 太田市