【高危漏洞预警】Gitblit身份认证绕过漏洞

漏洞描述:

Gitblit是一个基于纯Java开发的轻量级、跨平台Git服务器解决方案,提供仓库管理、权限控制和Web界面访问功能,支持SSH/HTTP协议及多认证方式,适用于私有部署的代码托管场景。

Gitblit的SSH服务在公钥认证流程中存在逻辑缺陷,攻击者可利用有效的公钥触发签名验证失败从而导致身份验证绕过。

攻击场景:

攻击者可能通过上传恶意公钥,触发签名验证失败从而导致身份验证绕过。

影响产品:

Gitblit < 1.10.0 

利用条件:

有效公钥 

修复建议:

补丁名称:

Gitblit身份认证绕过漏洞的补丁-更新至最新版本v1.10.0

文件链接：

https://github.com/gitblit-org/gitblit/releases/tag/v1.10.0 

文章来源：飓风网络安全