PT-2020-17077 · Gitea+1 · Gitea+1

Abergmann

·

Publicado

2020-11-24

·

Atualizado

2024-04-24

·

CVE-2020-28991

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do software vulnerável e versões afetadas
Versões do Gitea de 0.9.99 a 1.12.x, anteriores à 1.12.6
Descrição
O problema decorre da falha em impedir um caminho do protocolo git que especifica um número de porta TCP e também contém quebras de linha (com codificação de URL) em ParseRemoteAddr em modules/auth/repo form.go. Isso permite uma possível exploração.
Recomendações
Para as versões do Gitea 0.9.99 a 1.12.x anteriores à 1.12.6, atualize para a versão 1.12.6 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso à função ParseRemoteAddr em modules/auth/repo form.go até que um patch esteja disponível.

Correção

Improper Access Control

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284

Identificadores relacionados

ALT-PU-2020-3490
ALT-PU-2020-3506
ALT-PU-2022-1257
BIT-GITEA-2020-28991
CVE-2020-28991
GHSA-R7H7-CHH4-5RVM

Produtos afetados

Alt Linux
Gitea