Plataforma
go
Componente
gogs.io/gogs
Corregido en
0.12.8
0.12.8
CVE-2022-1285 es una vulnerabilidad de Server-Side Request Forgery (SSRF) detectada en el webhook de gogs.io/gogs. Esta vulnerabilidad permite a un atacante realizar solicitudes a recursos internos del servidor, potencialmente exponiendo información sensible o permitiendo el acceso a servicios internos. Afecta a versiones anteriores a 0.12.8 y se recomienda actualizar a la versión corregida para eliminar el riesgo.
La vulnerabilidad SSRF en gogs.io/gogs permite a un atacante, a través de la manipulación del webhook, enviar solicitudes a cualquier URL que el servidor pueda alcanzar. Esto incluye recursos internos que normalmente no son accesibles desde el exterior. Un atacante podría utilizar esta vulnerabilidad para leer archivos confidenciales, interactuar con servicios internos como bases de datos o APIs, o incluso ejecutar comandos en el servidor si existen configuraciones incorrectas. El impacto potencial es significativo, pudiendo resultar en la exposición de datos sensibles, la toma de control del servidor o la interrupción del servicio.
CVE-2022-1285 fue publicado el 21 de agosto de 2024. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Organizations using gogs.io/gogs for self-hosted Git repositories are at risk, particularly those with internal services accessible via HTTP. Legacy gogs installations and deployments with overly permissive webhook configurations are especially vulnerable.
• linux / server:
journalctl -u gogs | grep -i "server-side request forgery"• generic web:
curl -I <gogs_url>/hooks/github/your_webhook_url | grep -i "Location:"disclosure
Estado del Exploit
EPSS
0.63% (70% percentil)
Vector CVSS
La mitigación principal para CVE-2022-1285 es actualizar gogs.io/gogs a la versión 0.12.8 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a los recursos internos a través de firewalls o listas de control de acceso (ACLs). Además, se puede configurar el webhook para que solo acepte solicitudes de fuentes confiables. Verifique la configuración del webhook para asegurar que no se permite el acceso a URLs externas no autorizadas después de la actualización.
Actualice Gogs a la versión 0.12.8 o superior. Esta versión contiene la corrección para la vulnerabilidad SSRF (SSRF). Consulte las notas de la versión y el registro de cambios para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2022-1285 es una vulnerabilidad de Server-Side Request Forgery (SSRF) en gogs.io/gogs que permite a atacantes realizar solicitudes a recursos internos del servidor.
Si está utilizando una versión de gogs.io/gogs anterior a 0.12.8, es vulnerable a esta vulnerabilidad. Actualice a la última versión para mitigar el riesgo.
La solución es actualizar gogs.io/gogs a la versión 0.12.8 o superior. Si la actualización no es posible, implemente medidas de seguridad adicionales como restricciones de acceso a recursos internos.
Hasta el momento, no se ha reportado explotación activa en campañas conocidas, pero la disponibilidad de PoCs podría aumentar el riesgo.
Consulte el sitio web oficial de gogs.io/gogs o el repositorio de GitHub para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.