Gogs零時差漏洞:參數注入 RCE 尚未修補(CVSS 9.4)
Rapid7 於2026年3月下旬發現 Gogs 自建 Git 管理系統存在參數注入(argument injection)零時差漏洞,通報兩個月後官方仍未修補。CVSS v4.0 評分 9.4,尚未登記 CVE 編號。
漏洞細節
- 類型: 參數注入(Argument Injection)
- 受影響版本: 0.14.2、0.15.0+dev
- 攻擊向量: 已驗證用戶,透過「Rebase before merging」流程,以惡意分支名稱發起 PR 即可觸發 RCE
- 所需權限: 普通用戶(無需管理員)
- 需用戶互動: 否,可完全自動化
影響範圍
- 所有作業系統(Windows、macOS、Linux)
- 所有安裝方式(Binary、Docker、原始碼編譯)
- 潛在後果:伺服器入侵、跨租戶資料竊取、橫向移動、供應鏈攻擊
狀態
官方尚未修補(截至2026-05-29)
緩解措施
- 限制用戶註冊與建立儲存庫的權限
- 審核合併及 Rebase 的組態設定