CVE-2020-15867

Versões do Gogs de 0.5.5 a 0.12.2

O recurso de ganchos Git (git hooks) no Gogs permite a execução remota de código por usuários autenticados. Isso pode levar a uma escalada de privilégios caso o acesso a esse recurso seja concedido a um usuário sem privilégios administrativos. A questão é digna de nota porque a documentação a menciona, mas a interface do usuário não alerta o usuário sobre as possíveis ações inseguras.

Para as versões do Gogs 0.5.5 a 0.12.2, considere restringir o acesso ao recurso git hook apenas a usuários administrativos para minimizar o risco de exploração. Como solução temporária, considere desativar o recurso git hook até que um patch esteja disponível.