製品・ソフトウェアに関する情報
Vulnerability Search
Gogs における SQL インジェクションの脆弱性
Title Gogs における SQL インジェクションの脆弱性
Summary

Gogs (別名 Go Git Service) には、SQL インジェクションの脆弱性が存在します。

Possible impacts 第三者により、以下のパラメータを介して、任意の SQL コマンドを実行される可能性があります。  (1) models/repo.go を適切に処理しない api/v1/repos/search の q パラメータ (2) models/user.go を適切に処理しない api/v1/users/search の q パラメータ
Solution

ベンダより正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date Nov. 19, 2014, midnight
Registration Date Nov. 25, 2014, 12:01 p.m.
Last Update Nov. 25, 2014, 12:01 p.m.
CVSS2.0 : 危険
Score 7.5
Vector AV:N/AC:L/Au:N/C:P/I:P/A:P
Affected System
GoGits
Gogs 0.3.1-9 から 0.5.6.1105 Beta 未満の 0.5.x
CVE (情報セキュリティ 共通脆弱性識別子)
CWE (共通脆弱性タイプ一覧)
ベンダー情報
Change Log
No Changed Details Date of change
0 [2014年11月25日]
  掲載		 Feb. 17, 2018, 10:37 a.m.
NVD Vulnerability Information
CVE-2014-8682
Summary

Multiple SQL injection vulnerabilities in Gogs (aka Go Git Service) 0.3.1-9 through 0.5.x before 0.5.6.1105 Beta allow remote attackers to execute arbitrary SQL commands via the q parameter to (1) api/v1/repos/search, which is not properly handled in models/repo.go, or (2) api/v1/users/search, which is not properly handled in models/user.go.

Publication Date Nov. 22, 2014, 12:59 a.m.
Registration Date Jan. 26, 2021, 3:21 p.m.
Last Update Nov. 21, 2024, 11:19 a.m.
Affected software configurations
Configuration1 or higher or less more than less than
cpe:2.3:a:gogits:gogs:*:*:*:*:*:*:*:* 0.5.5
cpe:2.3:a:gogits:gogs:0.4.1:*:*:*:*:*:*:*
cpe:2.3:a:gogits:gogs:0.5.0:*:*:*:*:*:*:*
cpe:2.3:a:gogits:gogs:0.3.1-9:*:*:*:*:*:*:*
cpe:2.3:a:gogits:gogs:0.5.2:*:*:*:*:*:*:*
cpe:2.3:a:gogits:gogs:0.4.2:*:*:*:*:*:*:*
Related information, measures and tools
Common Vulnerabilities List