关键信息总结 漏洞详情 1. Critical Vulnerability: 防止在评估模板存储库时写入外部符号链接 - CVSS: 9.5 Critical - 修复措施: 通过沙盒化文件访问来修补此问题。 - 描述: 攻击者可以利用此漏洞通过符号链接导致Forgejo服务器上的文件损坏或远程shell访问。 2. Medium Vulnerability: 防止.forgejo/template从外部内容读取 - CVSS: 6.9 Medium - 修复措施: 通过沙盒化新建的存储库中文件访问来修补此问题。 - 描述: 当文件为模板存储库外部的符号链接时,Forgejo会跟随链接读取文件,导致资源耗尽。 3. Medium Vulnerability: 解析LFS令牌失败时返回错误 - CVSS: 6.3 Medium - 修复措施: 当LFS令牌解析失败时返回错误。 - 描述: 当用户下载他们无权限访问的LFS文件时,可能会滥用LFS令牌导致服务不可用。 4. Low Vulnerability: 防止 Commit API 在有效 GPG 签名提交时泄露用户的隐藏电子邮件地址 - CVSS: 2.3 Low - 修复措施: 修复通过返回签名者身份而不是主帐户的电子邮件地址来防止泄露问题。 - 描述: 访问者可以在API中查看GPG签名的作者的主电子邮件地址,这可能导致安全问题。 发布说明 修复安全漏洞: - 修复了提交API泄露用户隐藏电子邮件地址的问题。 - 修复了写入外部符号链接漏洞。 - 修复了模板文件的外部链接热点读取问题。 - 修复了LFS令牌解析问题。 其他变更: - Go语言版本升级到1.25以提高兼容性和安全性。 - 数据库迁移的错误处理优化。 - 依赖项更新到v1.25。