Manassehzhou

**Name of the Vulnerable Software and Affected Versions** Gogs versions prior to 0.13.1 **Description** Gogs, an open-source self-hosted Git service, has a flaw that allows a malicious user to write files to arbitrary locations on the server, potentially gaining SSH access. The issue stems from improper path validation in the file update API. Exploitation involves using a crafted request to write a file, such as an SSH authorized key, to a sensitive directory. The API endpoint used for this is `/api/v1/repos/{repo}/contents/{path}`. The vulnerable parameter is the `path` within this endpoint, allowing for path traversal using sequences like `../../../../`. The `PUT` method is used to write the file. **Recommendations** Upgrade to Gogs version 0.13.1 or later to resolve this issue.

**Name of the Vulnerable Software and Affected Versions** Gogs versions prior to 0.13.1 **Description** The issue is related to errors in handling symbolic links in the Gogs self-hosted Git service. A malicious user can commit and edit a crafted symlink file to a repository, allowing them to gain SSH access to the server. **Recommendations** For versions prior to 0.13.1, upgrade to version 0.13.1 or later to protect the server. As a temporary workaround, consider granting access only to trusted users to the Gogs instance on affected versions.

**Nome do software vulnerável e versões afetadas** Versões do GitLab de 10.7.0 a 12.9.2 **Descrição** Uma falha no GitLab permite a contornamento do Workhorse, o que pode levar ao upload de artefatos de tarefas e à divulgação de arquivos, resultando na exposição de informações confidenciais por meio de “request smuggling”. **Recomendações** Para as versões do GitLab 10.7.0 a 12.9.2, atualize para uma versão que contenha uma correção para este problema, a fim de impedir a contornamento do Workhorse e a possível divulgação de arquivos.

**Nome do software vulnerável e versões afetadas** GitLab EE/CE versões 11.1 a 12.9 **Descrição** A vulnerabilidade está relacionada à manipulação de parâmetros em um recurso de upload, permitindo que usuários não autorizados leiam o conteúdo disponível em pastas específicas. Isso pode levar à divulgação de informações, possibilitando que um invasor remoto acesse dados confidenciais. **Recomendações** Para as versões 11.1 a 12.9 do GitLab EE/CE, considere restringir o acesso ao recurso de upload para minimizar o risco de exploração. Como solução temporária, limite a capacidade de usuários não autorizados lerem o conteúdo de pastas específicas até que um patch esteja disponível. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.