Eine Schwachstelle in den Softwareprojekten Gitea und Gogs, die zum Betreiben von Versionsverwaltungssystemen mit Git genutzt werden, ermöglicht einem Angreifer mit Zugriff auf ein Administratorkonto oder ein Nutzerkonto mit speziellen Rechten, das Ausführen von beliebigem Programmcode auf dem Server. Den Schwachstellen wurden die CVE-Nummern CVE-2020-14144 und CVE-2020-15867 zugewiesen. Das Deaktivieren von Git-Hooks in Gitea behebt die Schwachstelle. Die Möglichkeit zur Deaktivierung von Git-Hooks soll in Gogs mit Version 0.13 folgen.
Der vollständige Bericht steht hier zum Download zur Verfügung (Englisch).
Permalink zu diesem Beitrag: https://url.fzi.de/de-vulns-gitea