Gitea代码审计：远程命令执行与目录穿越漏洞剖析

在本次Go代码审计中，针对Gitea服务器，我们发现了两个关键的安全漏洞，即逻辑错误导致的权限绕过漏洞和目录穿越漏洞。首先，我们来看第一个漏洞。 漏洞一：逻辑错误导致的权限绕过 GitLFS（Git Large File Storage）作为Git的一个扩展，用于处理大文件存储。Gitea作为Git服务提供者，支持LFS功能。在`modules/lfs/server.go`中的PostHandler函数处理POST请求时，对于权限控制存在缺陷。在未经授权的情况下，`requireAuth`函数虽然设置了401状态码和WWW-Authenticate头，但并未完全阻止后续处理，这就形成了一处权限绕过漏洞。这意味着攻击者可以通过这一漏洞创建GitLFS对象，即使他们不具备访问特定项目的权限。 漏洞二：目录穿越漏洞 利用上述权限绕过漏洞，攻击者能够创建一个指向敏感路径（如`/etc/passwd`）的LFS对象。由于Gitea服务器在生成LFS对象ID（oid）时未进行严格的限制，攻击者可以构造恶意oid来实现目录穿越。尽管创建对象接口存在权限问题，但实际读取文件时，系统会检查项目的访问权限，这意味着攻击者必须利用公开项目来间接访问这些恶意创建的LFS对象。例如，通过发送一个包含恶意oid的数据包，创建对象并获取oid为`/../../etc/passwd`的对象，然后通过GET请求访问这个路径。 总结来说，这两个漏洞组合起来构成了一个严重的安全风险，攻击者可能借此窃取或篡改服务器上的敏感信息。修复这类漏洞需要对Gitea的权限验证逻辑进行严谨审查和加强，确保在处理LFS请求时严格按照预期权限进行操作，同时对LFS对象ID进行校验，防止恶意路径注入。开发者应密切关注此类代码审计结果，及时更新和修补安全漏洞，保障用户数据安全。