一、 漏洞 CVE-2018-18925 基础信息
漏洞标题
N/A
来源:AIGC 神龙大模型
漏洞描述信息
Gogs 0.11.66 允许远程代码执行,因为它未正确验证会话 ID,正如在文件.go中的"."会话文件伪造示例所示。这与 Macaron 中的 go-macaron/session 代码中的会话 ID 处理有关。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
N/A
来源:AIGC 神龙大模型
漏洞标题
N/A
来源:美国国家漏洞数据库 NVD
漏洞描述信息
Gogs 0.11.66 allows remote code execution because it does not properly validate session IDs, as demonstrated by a ".." session-file forgery in the file session provider in file.go. This is related to session ID handling in the go-macaron/session code for Macaron.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
N/A
来源:美国国家漏洞数据库 NVD
漏洞标题
Gogs 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
Gogs(又名Go Git Service)是Gogs团队开发的一个基于Go语言的自助Git托管服务,它支持创建、迁移公开/私有仓库,添加、删除仓库协作者等。 Gogs 0.11.66版本中存在安全漏洞,该漏洞源于程序没有正确验证会话ID。远程攻击者可利用该漏洞执行代码。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2018-18925 的公开POC
# POC 描述 源链接 神龙链接
1 Exploitation of CVE-2018-18925 a Remote Code Execution against the Git self hosted tool: Gogs. https://github.com/j4k0m/CVE-2018-18925 POC详情
2 Gogs 0.11.66 allows remote code execution because it does not properly validate session IDs, as demonstrated by a ".." session-file forgery in the file session provider in file.go. This is related to session ID handling in the go-macaron/session code for Macaron. https://github.com/projectdiscovery/nuclei-templates/blob/main/http/cves/2018/CVE-2018-18925.yaml POC详情
3 None https://github.com/Threekiii/Awesome-POC/blob/master/Web%E5%BA%94%E7%94%A8%E6%BC%8F%E6%B4%9E/Gogs%20%E4%BB%BB%E6%84%8F%E7%94%A8%E6%88%B7%E7%99%BB%E5%BD%95%E6%BC%8F%E6%B4%9E%20CVE-2018-18925.md POC详情
4 https://github.com/vulhub/vulhub/blob/master/gogs/CVE-2018-18925/README.md POC详情
三、漏洞 CVE-2018-18925 的情报信息