PT-2021-17853 · Gitea+1 · Gitea+1

Jolheiser

·

Publicado

2020-12-11

·

Atualizado

2024-08-21

·

CVE-2021-28378

CVSS v3.1

5.4

Média

VetorAV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N
**Nome do software vulnerável e versões afetadas:
Versões do Gitea 1.12.x a 1.13.3
Versões do Gitea 1.1.0 a 1.12.5
Descrição:
A vulnerabilidade permite ataques de script entre sites (XSS) por meio de determinados dados de issues em algumas situações. Ela também permite a execução remota de código por usuários autenticados através do recurso de hooks do Git.
Recomendações:
Para as versões do Gitea 1.12.x a 1.13.3, atualize para a versão 1.13.4 ou posterior.
Para as versões do Gitea 1.1.0 a 1.12.5, considere desativar o recurso git hook como uma solução temporária até que um patch esteja disponível.

Exploit

Correção

OS Command Injection

XSS

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-78CWE-79

Identificadores relacionados

ALT-PU-2020-3490
ALT-PU-2020-3506
ALT-PU-2021-1612
ALT-PU-2022-1257
BIT-GITEA-2020-14144
BIT-GITEA-2021-28378
CVE-2021-28378
GHSA-3H6C-C475-JM7V
GHSA-G95P-88P4-76CM
GO-2022-0832

Produtos afetados

Alt Linux
Gitea