PT-2022-6562 · Gitea · Gitea
Beeonthego
+2
·
Publicado
2022-02-08
·
Atualizado
2024-08-21
·
CVE-2021-45326
CVSS v2.0
9.0
Alta
| Vetor | AV:N/AC:L/Au:S/C:C/I:C/A:C |
Nome do software vulnerável e versões afetadas
Versões do Gitea anteriores à 1.5.2
Descrição
O problema está relacionado a uma vulnerabilidade de falsificação de solicitação entre sites (CSRF) na interface do sistema de gerenciamento de repositórios Git do Gitea. Essa vulnerabilidade pode ser explorada por um invasor remoto para realizar um ataque CSRF através do envio de solicitações POST especialmente criadas, podendo alterar o estado do sistema. A vulnerabilidade é particularmente perigosa com solicitações POST que alteram o estado.
Recomendações
Para versões anteriores à 1.5.2, atualize para a versão 1.5.2 ou posterior para resolver o problema.
Como solução temporária, considere restringir o acesso às rotas da API para minimizar o risco de exploração.
Evite usar solicitações POST que alterem o estado nas rotas da API afetadas até que o problema seja resolvido.
Correção
CSRF
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Gitea