Gogs存在尚未修補的零時差漏洞,攻擊者可用於遠端執行任意程式碼

來源: iThome | 作者: 周峻佑 | 日期: 2026-05-29 URL: https://www.ithome.com.tw/news/176202 Blog ID: 654

原文摘要

Rapid7 發現 Gogs(輕量級自建 Git 管理系統)存在參數注入(argument injection)漏洞,通報兩個月後仍未修補

關鍵細節

項目內容
發現時間2026 年 3 月下旬
漏洞類型參數注入(Argument Injection)
CVSS v4.0 評分9.4 / 10
CVE 編號尚未登記
受影響版本0.14.20.15.0+dev 均已驗證

攻擊方式

  • 攻擊者透過「合併前重設程式碼基礎(Rebase before merging)」流程
  • 建立含惡意名稱的分支(branch),發起拉取請求(Pull Request)
  • 達成遠端執行任意程式碼(RCE)

攻擊條件與影響

  • 需通過身分驗證(無需管理員權限
  • 無需使用者互動,可完全自動化
  • 可能後果:入侵伺服器、跨租戶竊取資料與身分憑證、橫向移動、發動供應鏈攻擊

受影響環境

所有平台與安裝方式均受影響(Windows、macOS、Linux;預先組建二進位檔、Docker、原始碼編譯)

建議緩解措施(官方尚未修補)

  1. 限制用戶註冊與建立儲存庫的權限
  2. 審核合併及重設程式碼基礎(Rebase)的組態設定

衍生頁面