Gogs menambal zero-day kritis yang memungkinkan eksekusi kode jarak jauh

Perkembangan ini menjadi salah satu sorotan penting dalam perkembangan keamanan siber. Gogs telah menambal kelemahan keamanan zero-day kritis yang memungkinkan penyerang menyusupi instance yang terhubung ke Internet dan mengakses repositori apa pun (termasuk…

Gogs telah menambal kelemahan keamanan zero-day kritis yang memungkinkan penyerang menyusupi instance yang terhubung ke Internet dan mengakses repositori apa pun (termasuk repositori pribadi).

Kerentanan injeksi argumen ini belum diberi ID CVE, hanya dapat dieksploitasi oleh penyerang terautentikasi tanpa hak istimewa admin, dan memengaruhi semua rilis Gogs hingga dan termasuk 0. 14. 2 dan 0. 15. 0+dev.

Mereka dapat mengeksploitasi kerentanan ini untuk menyusupi server yang ditargetkan, membaca repositori apa pun (termasuk repositori pribadi), mencuri kredensial, berpindah secara lateral ke sistem lain di jaringan, dan mengubah kode sumber yang dihosting.

Selama akhir pekan, 10 hari setelah perusahaan keamanan siber tersebut mengungkapkannya secara publik menyusul kurangnya respons terhadap beberapa pembaruan status, pengelola Gogs merilis versi 0. 14. 3 pada tanggal 7 Juni untuk menambal kelemahan ini dan meminta ID CVE.

Burgess juga mengatakan bahwa kelemahan ini sangat mirip dengan kelemahan injeksi argumen lainnya yang telah ditambal oleh tim keamanan Gogs dalam beberapa tahun terakhir (misalnya, CVE-2024-39933, CVE-2024-39932, CVE-2026-26194, dan CVE-2024-39930), tetapi ini memengaruhi jalur kode berbeda (Merge()) yang tidak pernah ada sebelumnya. ditangani.

Pada awal Desember 2026, Gogs menambal kerentanan RCE lainnya (CVE-2025-8110) setelah dieksploitasi dalam serangan zero-day untuk menyusupi ratusan server.

Secara keseluruhan, perkembangan ini memberi gambaran tentang arah terbaru di perkembangan keamanan siber dan alasan mengapa topik ini tetap relevan untuk terus dipantau.

Baca sumber asli dari bleepingcomputer. com