漏洞概述 该漏洞涉及Gogs平台中的安全加固,具体为对同源URL检查的强化,以防止重定向绕过。 影响范围 漏洞编号:#8322 影响组件:Gogs平台 影响功能:附件下载端点、组织团队和成员管理操作、克隆地址验证、登录和其他后操作流 修复方案 修复内容: - 在附件下载端点添加授权检查,防止未授权用户下载私有仓库的文件。 - 对组织团队和成员管理操作进行授权检查,防止通过 crafted link 进行攻击。 - 强化克隆地址验证,防止通过镜像地址更新绕过验证。 - 修复登录和其他后操作流中的重定向问题,防止通过 查询参数进行重定向绕过。 POC代码 测试用例