Cuatro fallas de seguridad han sido descubiertas en el servicio de autohospedaje de código abierto Gogs. Estas vulnerabilidades podrían permitir a un atacante autenticado comprometer instancias susceptibles, robar o eliminar código fuente, e introducir puertas traseras.
Los detallados por los investigadores de SonarSource son:
CVE-2024-39930 (puntuación CVSS: 9.9) – Inyección de argumentos en el servidor SSH integrado
CVE-2024-39931 (puntuación CVSS: 9.9) – Eliminación de archivos internos
CVE-2024-39932 (puntuación CVSS: 9.9) – Inyección de argumentos durante la vista previa de cambios
CVE-2024-39933 (puntuación CVSS: 7.7) – Inyección de argumentos al etiquetar nuevas versiones
La explotación de las tres primeras debilidades podría permitir a un atacante ejecutar comandos arbitrarios en el servidor Gogs, mientras que la cuarta falla permite a los atacantes leer archivos y secretos de configuración.
Es importante señalar que estas vulnerabilidades solo pueden ser aprovechadas por atacantes autenticados. Además, la activación de CVE-2024-39930 requiere que el servidor SSH integrado esté habilitado y que el actor malicioso posea una clave privada SSH válida.
Las instancias de Gogs en Windows no son afectadas, pero las que se ejecutan en Debian y Ubuntu sí lo son. Según datos en Shodan, alrededor de 7,300 instancias de Gogs son accesibles públicamente, con la mayoría ubicadas en China, EE. UU., Alemania, Rusia y Hong Kong.
SonarSource recomienda a los usuarios deshabilitar el servidor SSH integrado, desactivar el registro de usuarios y considerar cambiar a Gitea. Se ha lanzado un parche, aunque no ha sido completamente probado.
Esta revelación se da en el contexto de un descubrimiento de Aqua, que señaló que la información sensible eliminada de los sistemas de gestión de código fuente (SCM) basados en Git podría permanecer expuesta. Esta vulnerabilidad, denominada «secretos fantasma«, destaca los posibles puntos ciegos que ofrecen las herramientas de escaneo convencionales.
Estos hallazgos resaltan la importancia de la seguridad cibernética y subrayan la necesidad de tomar medidas para proteger los sistemas de gestión de código fuente.
Vía The Hacker News
La entrada Vulnerabilidades críticas no corregidas reveladas en el popular servicio de código abierto Gogs Git se publicó primero en News Bender Daily.