开源Git服务Gogs被曝存在多个高危安全漏洞，CVSS评分高达7.7至9.9。这些漏洞允许攻击者执行任意代码、获取未授权访问权限并窃取敏感数据，其中部分漏洞可能导致服务器SSH访问权限被获取、内部文件被删除甚至系统被完全控制。受影响的版本包括0.13.1之前的版本。强烈建议用户立即升级至0.13.1或更高版本，以修复这些安全隐患。在无法立即更新的情况下，应限制访问并禁用内置SSH服务器，以降低风险。

⚠️CVE-2024-55947：攻击者可写入任意路径文件，可能获取服务器SSH访问权限。

🔐CVE-2024-39930：内置SSH服务器启用时，未授权用户能以高权限执行指令。

💣CVE-2024-39931：未授权用户可删除内部文件，可能导致系统受损。

📝CVE-2024-39932：攻击者可写入任意文件，可能导致强制重新安装并获取管理员权限。

🔑CVE-2024-39933：未授权用户可读取任意文件，包括数据库凭据和TLS证书等敏感信息。

在流行的开源自托管 Git 服务 Gogs 中发现了多个严重的安全漏洞。 这些漏洞的 CVSS 得分从 7.7 到 9.9 不等，攻击者可利用漏洞执行任意代码、获得未经授权的访问权限并窃取敏感数据。漏洞和影响： CVE-2024-55947（CVSS 8.7）： 允许攻击者将文件写入任意路径，可能会授予服务器 SSH 访问权限。CVE-2024-39930（CVSS 9.9）： 当内置 SSH 服务器启用时，未授权用户能够以较高的权限执行指令。CVE-2024-39931 （CVSS 9.9）： 允许未授权用户删除内部文件，可能导致系统受损。CVE-2024-39932 （CVSS 9.9）： 允许攻击者写入任意文件，可能导致强制重新安装和赋予管理员权限。CVE-2024-39933（CVSS 7.7）： 未授权用户可读取任意文件，包括包含数据库凭据和 TLS 证书的配置文件。CVE-2024-54148 （CVSS 8.7）：允许攻击者获取 SSH 证书： 允许攻击者通过操作符号链接文件获得服务器的 SSH 访问权限。 需要采取紧急行动： 强烈建议 Gogs 用户立即将其安装更新至 0.13.1 版或最新的 0.14.0+dev。 这些更新可解决已发现的漏洞并提供重要的安全修复。变通方法： 在没有立即更新的情况下，限制只有受信任用户才能访问 Gogs 实例至关重要。 对于 CVE-2024-39930，建议在非 Windows 系统上禁用内置 SSH 服务器。