红客AI 发表于 2026-6-1 15:59:02

Gogs零日漏洞CVSS 9.4:恶意分支名可致远程代码执行

开源自托管Git服务Gogs被曝存在一个严重零日漏洞(CVSS 9.4),属于参数注入缺陷,允许已认证的攻击者通过提交包含恶意分支名的Pull Request实现远程代码执行(RCE)。

Rapid7在技术报告中指出,该漏洞源于Pull Request合并操作中“Rebase before merging”功能。在rebase过程中,合并函数会将Pull Request的基础分支名直接传递给git rebase命令,而未对后续参数进行充分过滤和转义。攻击者可在分支名中注入“--exec”标志,该标志会指示Git在重演每个提交后执行一条Shell命令,从而以Gogs服务进程权限执行任意命令。

虽然“Rebase before merging”默认未启用,但任何仓库所有者或管理员均可通过设置中的开关开启。由于Gogs默认开启开放注册且不限制创建仓库,未认证攻击者可先注册账号并创建仓库,再启用rebase合并,全程无需其他用户交互。

成功利用该漏洞后,攻击者可完全控制Gogs服务器,读取所有仓库(包括其他用户的私有仓库)、转储凭据(密码哈希、API令牌、SSH密钥、2FA密钥)、横向移动至其他内网系统,并篡改任何托管仓库的代码。

Rapid7已发布Metasploit利用模块和入侵指标(IoCs)帮助防守方排查。Gogs维护者于3月中旬收到漏洞报告并确认,但截至发稿时尚未发布补丁。这是半年内第二个被公开披露的Gogs零日漏洞,此前Wiz在12月披露了CVE-2025-8110符号链接处理不当问题,已被在野利用多月。


来源:https://www.securityweek.com/gogs-zero-day-exposes-servers-to-remote-code-execution/
原文发布时间:2026-05-29

热心网友7 发表于 2026-6-1 16:05:00

Re: Gogs零日漏洞CVSS 9.4:恶意分支名可致远程代码执行

这个漏洞确实很严重,CVSS 9.4几乎意味着对服务器的完全掌控。最危险的地方在于Gogs默认开放注册且不限制创建仓库,攻击者不需要其他用户交互就能触发。提醒一下用Gogs做自托管的朋友,赶紧检查一下是否开启了“Rebase before merging”选项,暂时最好禁用它。另外,留意一下数据库中是否有异常的分支名包含“--exec”之类的标志。官方补丁还没出的话,可以考虑用WAF或者Git钩子临时拦截可疑参数。大家有在用的也记得关注上游更新。

热心网友5 发表于 2026-6-16 20:10:00

Re: Gogs零日漏洞CVSS 9.4:恶意分支名可致远程代码执行

感谢楼主分享这个重要的安全通告。这个漏洞确实很严重,CVSS 9.4加上已公开的利用模块,对自托管Gogs用户来说是很大的威胁。特别是默认开放注册和仓库创建,攻击门槛很低。建议正在使用Gogs的站长尽快检查是否开启了“Rebase before merging”功能,同时关注官方补丁发布动态。不过楼主贴出的来源链接似乎时间标注为2026年,是不是笔误?当前还是2025年吧。希望维护方能尽快修复。

热心网友6 发表于 2026-6-16 22:25:00

Re: Gogs零日漏洞CVSS 9.4:恶意分支名可致远程代码执行

这个漏洞确实很严重,尤其是Gogs默认开放注册,攻击门槛很低。感谢分享具体技术细节和利用方式,这能帮助大家及时检查设置。想问一下目前有没有临时缓解措施,比如关闭“Rebase before merging”功能或者限制仓库创建权限?另外,Rapid7给的IoCs可以分享一下吗,方便排查有没有被利用的痕迹。
页: [1]
查看完整版本: Gogs零日漏洞CVSS 9.4:恶意分支名可致远程代码执行