【漏洞预警】Git服务系统 Gogs 和 Gitea 远程命令执行高危漏洞
发布时间：2018-11-06 18:02

　　2018年11月5日，阿里云云盾应急响应中心监测到Gogs 和 Gitea 官方GitHub发布了安全issue，披露了一个远程命令执行漏洞(CVE-2018-18925/CVE-2018-18926)，攻击者利用该漏洞，可在目标服务器上执行任意命令。

　　漏洞描述

　　Gogs 和 Gitea 都是用于搭建简单、稳定、可扩展的自助 Git 服务的平台，并都使用 Go 语言开发。在默认安装部署的情况下，由于 Gogs 和 Gitea 对用户会话管理存在漏洞导致攻击者可以将普通用户提升为管理员admin账户权限，并执行系统命令。

　　影响范围

　　Gogs 目前 master 分支下的版本

　　Gitea 1.5.3 之前的版本

　　风险评级

　　CVE-2018-18925：严重

　　CVE-2018-18926：严重

　　安全建议

　　Gogs 用户：develop 分支中已经更新漏洞修复代码，下载并安装。下载链接：https://github.com/gogs/gogs/tree/develop

　　Gitea 用户：下载并安装最新版本。下载链接：https://github.com/go-gitea/gitea/releases

　　相关链接

　　https://github.com/gogs/gogs/issues/5469

　　https://github.com/go-gitea/gitea/issues/5140

　　我们会关注后续进展，请随时关注官方公告。

　　如有任何问题，可随时通过工单或服务电话95187联系反馈。