Repositórios

A plataforma Gogs, uma alternativa ao GitHub Enterprise, corrigiu uma vulnerabilidade crítica de injeção de argumentos que poderia permitir que atacantes autenticados acessassem repositórios, incluindo os privados. A falha, que ainda não possui um ID CVE, afeta todas as versões do Gogs até a 0.14.2 e 0.15.0+dev. De acordo com o pesquisador de segurança Jonah Burgess, a configuração padrão do Gogs, que permite registro aberto de usuários e sem limite na criação de repositórios, facilita a exploração da vulnerabilidade. Um atacante autenticado poderia criar uma conta, um repositório e ativar a mesclagem rebase, permitindo a execução de um ataque sem interação de outros usuários. A Gogs lançou a versão 0.14.3 em 7 de junho para corrigir a falha e recomenda que todos os usuários atualizem imediatamente. Para aqueles que não podem aplicar o patch, a Rapid7 sugere medidas de mitigação, como restringir o registro de usuários e a criação de repositórios. A falha é semelhante a outras já corrigidas pela equipe de segurança do Gogs, mas afeta um caminho de código diferente que não havia sido abordado anteriormente.