Gogs存在尚未修補的零時差漏洞,攻擊者可用於遠端執行任意程式碼
來源: iThome | 作者: 周峻佑 | 日期: 2026-05-29 URL: https://www.ithome.com.tw/news/176202 Blog ID: 654
原文摘要
Rapid7 發現 Gogs(輕量級自建 Git 管理系統)存在參數注入(argument injection)漏洞,通報兩個月後仍未修補。
關鍵細節
| 項目 | 內容 |
|---|---|
| 發現時間 | 2026 年 3 月下旬 |
| 漏洞類型 | 參數注入(Argument Injection) |
| CVSS v4.0 評分 | 9.4 / 10 |
| CVE 編號 | 尚未登記 |
| 受影響版本 | 0.14.2、0.15.0+dev 均已驗證 |
攻擊方式
- 攻擊者透過「合併前重設程式碼基礎(Rebase before merging)」流程
- 建立含惡意名稱的分支(branch),發起拉取請求(Pull Request)
- 達成遠端執行任意程式碼(RCE)
攻擊條件與影響
- 需通過身分驗證(無需管理員權限)
- 無需使用者互動,可完全自動化
- 可能後果:入侵伺服器、跨租戶竊取資料與身分憑證、橫向移動、發動供應鏈攻擊
受影響環境
所有平台與安裝方式均受影響(Windows、macOS、Linux;預先組建二進位檔、Docker、原始碼編譯)
建議緩解措施(官方尚未修補)
- 限制用戶註冊與建立儲存庫的權限
- 審核合併及重設程式碼基礎(Rebase)的組態設定
衍生頁面
- Gogs零時差漏洞參數注入RCE尚未修補CVSS 9.4 — 漏洞事件主頁
- gogs — Gogs Git服務
- rapid7 — 漏洞發現者