PT-2022-6561 · Gitea+1 · Gitea+1
Zeripath
·
Publicado
2020-04-02
·
Atualizado
2024-08-21
·
CVE-2021-45327
CVSS v2.0
10
Crítica
| Vetor | AV:N/AC:L/Au:N/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Gitea anteriores à 1.11.2
Descrição
O problema está relacionado à confiança em métodos de permissão HTTP no lado do servidor ao fazer referência à API vulnerável de administrador ou usuário, o que poderia permitir que um usuário mal-intencionado remoto executasse código arbitrário. Também está associado a uma vulnerabilidade de captura e reprodução que poderia permitir que um invasor remoto contornasse restrições de segurança, obtivesse acesso não autorizado para ler, modificar ou excluir dados, ou executasse código arbitrário.
Recomendações
Para versões anteriores à 1.11.2, atualize para a versão 1.11.2 ou posterior para resolver o problema. Como solução temporária, considere restringir o acesso à API vulnerável de administrador ou usuário até que um patch esteja disponível. Evite usar os pontos de extremidade da API vulneráveis, como
/api/v1/login ou /users/{id}, até que o problema seja resolvido.Correção
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Alt Linux
Gitea