PT-2020-13891 · Gitea+1 · Gitea+1
Niklas974
·
Publicado
2020-10-16
·
Atualizado
2026-02-28
·
CVE-2020-14144
CVSS v3.1
7.2
Alta
| Vetor | AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
Nome do software vulnerável e versões afetadas
Versões do Gitea de 1.1.0 a 1.12.5
Descrição
O recurso git hook no Gitea pode permitir a execução remota de código autenticada em ambientes de clientes onde a documentação não foi compreendida. O fornecedor indicou que isso não é uma vulnerabilidade, afirmando que se trata de uma funcionalidade do software limitada a um subconjunto muito restrito de contas e que são fornecidos avisos claros aos usuários sobre essa funcionalidade.
Recomendações
Para as versões 1.1.0 a 1.12.5 do Gitea, considere desativar o recurso git hook para minimizar o risco de exploração, pois ele pode permitir a execução remota de código autenticada. Certifique-se de que a documentação relativa ao recurso git hook seja totalmente compreendida e que os avisos sobre sua funcionalidade sejam claramente reconhecidos. No momento, não há informações sobre uma versão mais recente que contenha uma correção para este problema.
Exploit
Correção
RCE
OS Command Injection
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Alt Linux
Gitea