Gitblit 身份验证绕过漏洞(CVE-2024-28080)预警
1、基本情况
Gitblit 是一个开源的纯 Java Git 解决方案,用于管理、查看和服务 Git 仓库。它支持通过 GIT、HTTP 和 SSH 传输方式提供仓库服务。
近日,监测发现 Gitblit 存在身份认证绕过漏洞(CVE-2024-28080),当用户配置了 Gitblit 仓库使用 SSH 密钥进行身份认证时,攻击者可通过使用与用户名对应的公钥,触发 Gitblit 签名验证失败导致验证流程回退至基于密码的身份认证流程并提前返回 true,从而绕过身份认证。攻击者成功利用该漏洞,可下载仓库任意文件。
对此,建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
2、影响范围
受影响版本
⚫ Gitblit < 1.10.0
3、处置建议
目前该已经修复,受影响用户可安装最新版本补丁。
下载地址:https://github.com/gitblit-org/gitblit/releases/tag/v1.10.0
4、参考链接
1) https://www.gitblit.com/releasenotes.html