Gogs

Die Schwachstelle betrifft die selbstgehostete Git-Plattform Gogs, konkret die PutContents-Schnittstelle, über die sich Dateiinhalte in einem Repository anlegen oder ändern lassen. Der Fehler liegt im fehlerhaften Umgang mit symbolischen Verknüpfungen (Symlinks): Die Schnittstelle prüft nicht ausreichend, wohin ein solcher Verweis zeigt. Dadurch lässt sich der Schreibvorgang aus dem eigentlichen Repository-Verzeichnis herauslenken und auf beliebige Pfade im Dateisystem umleiten – ein klassischer Pfadüberschreitungs-Angriff (Path Traversal). Ein Angreifer kann auf diese Weise Dateien an Orten erzeugen oder überschreiben, an denen das nicht vorgesehen ist, und so im Ergebnis eigenen Code zur Ausführung bringen. Damit erlangt er Kontrolle über den Server, auf dem Gogs betrieben wird. Betroffen sind Installationen, bei denen Angreifer Schreibzugriff über die betroffene Schnittstelle erhalten können – insbesondere selbst betriebene Gogs-Instanzen.