Remote Command Execution in gogs/gogs 漏洞信息(CVE-2022-1884)

一、漏洞 CVE-2022-1884 基础信息

漏洞标题

Gogs远程命令执行漏洞

来源：AIGC 神龙大模型

漏洞描述信息

在 gogs/gogs 版本 <=0.12.7 中，当部署在 Windows 服务器上时，存在一个远程命令执行漏洞。该漏洞是由于在文件上传过程中对 `tree_path` 参数验证不当引起的。攻击者可以通过将 `tree_path` 设置为 `.git.` 来将文件上传至 .git 目录，从而能够写入或重写 `.git/config` 文件。如果设置了 `core.sshCommand`，这将导致远程命令执行。

来源：AIGC 神龙大模型

CVSS信息

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

来源：AIGC 神龙大模型

漏洞类别

危险类型文件的不加限制上传

来源：AIGC 神龙大模型

漏洞标题

Remote Command Execution in gogs/gogs

来源：美国国家漏洞数据库 NVD

漏洞描述信息

A remote command execution vulnerability exists in gogs/gogs versions <=0.12.7 when deployed on a Windows server. The vulnerability arises due to improper validation of the `tree_path` parameter during file uploads. An attacker can set `tree_path=.git.` to upload a file into the .git directory, allowing them to write or rewrite the `.git/config` file. If the `core.sshCommand` is set, this can lead to remote command execution.

来源：美国国家漏洞数据库 NVD

CVSS信息

N/A

来源：美国国家漏洞数据库 NVD

漏洞类别

OS命令中使用的特殊元素转义处理不恰当(OS命令注入)

来源：美国国家漏洞数据库 NVD

漏洞标题

Gogs 操作系统命令注入漏洞

来源：中国国家信息安全漏洞库 CNNVD

漏洞描述信息

Gogs（Go Git Service）是Gogs团队的一个基于Go语言的自助Git托管服务，它支持创建、迁移公开/私有仓库，添加、删除仓库协作者等。 Gogs 0.12.7及之前版本存在操作系统命令注入漏洞，该漏洞源于文件上传期间对tree_path参数的验证不当，可能导致远程命令执行。

来源：中国国家信息安全漏洞库 CNNVD

CVSS信息

N/A

来源：中国国家信息安全漏洞库 CNNVD

漏洞类别

授权问题

来源：中国国家信息安全漏洞库 CNNVD

二、漏洞 CVE-2022-1884 的公开POC

#	POC 描述	源链接	神龙链接

三、漏洞 CVE-2022-1884 的情报信息

标题： huntr - The world’s first bug bounty platform for AI/ML -- 🔗来源链接

标签：
神龙速读
https://nvd.nist.gov/vuln/detail/CVE-2022-1884

一、 漏洞 CVE-2022-1884 基础信息

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

漏洞标题

漏洞描述信息

CVSS信息

漏洞类别

二、漏洞 CVE-2022-1884 的公开POC

三、漏洞 CVE-2022-1884 的情报信息

一、漏洞 CVE-2022-1884 基础信息