12月23日基于Git而成的程式码管理系统Gogs其中,CVE-2024-39930涉及内建的SSH伺服器元件,一旦此元件启用,攻击者就有机会借由未具备特殊权限的使用者帐号及SSH金钥,在Gogs伺服器以特殊权限执行任意命令。此外,这项漏洞也让攻击者有机会取得使用者代管的程式码。
另一项漏洞CVE-2024-39931,也与CVE-2024-39930具备类似的破坏威力,同样能允许攻击者以非特权帐号,在Gogs伺服器以特殊权限执行任意命令,或是取得使用者代管的程式码。
第3个危险程度满分的漏洞CVE-2024-39932则是涉及档案系统,攻击者可利用不具特权的使用者帐号写入任意档案,通报此事的研究人员指出,他们可借此漏洞强制重新安装Gogs、取得管理员权限。此外,攻击者不仅能存取使用者的程式码,甚至能进一步窜改内容。
值得留意的是,除了CVE-2024-39930,其余两个漏洞目前并无缓解措施能够因应。