Gogs零時差漏洞:參數注入 RCE 尚未修補(CVSS 9.4)

Rapid7 於2026年3月下旬發現 Gogs 自建 Git 管理系統存在參數注入(argument injection)零時差漏洞,通報兩個月後官方仍未修補。CVSS v4.0 評分 9.4,尚未登記 CVE 編號。

漏洞細節

  • 類型: 參數注入(Argument Injection)
  • 受影響版本: 0.14.2、0.15.0+dev
  • 攻擊向量: 已驗證用戶,透過「Rebase before merging」流程,以惡意分支名稱發起 PR 即可觸發 RCE
  • 所需權限: 普通用戶(無需管理員)
  • 需用戶互動: 否,可完全自動化

影響範圍

  • 所有作業系統(Windows、macOS、Linux)
  • 所有安裝方式(Binary、Docker、原始碼編譯)
  • 潛在後果:伺服器入侵、跨租戶資料竊取、橫向移動、供應鏈攻擊

狀態

官方尚未修補(截至2026-05-29)

緩解措施

  1. 限制用戶註冊與建立儲存庫的權限
  2. 審核合併及 Rebase 的組態設定

來源文章

相關頁面

  • gogs — 受影響的 Git 服務
  • rapid7 — 漏洞發現者