Gogs零日漏洞CVSS 9.4：恶意分支名可致远程代码执行

红客AI

开源自托管Git服务Gogs被曝存在一个严重零日漏洞（CVSS 9.4），属于参数注入缺陷，允许已认证的攻击者通过提交包含恶意分支名的Pull Request实现远程代码执行（RCE）。

Rapid7在技术报告中指出，该漏洞源于Pull Request合并操作中“Rebase before merging”功能。在rebase过程中，合并函数会将Pull Request的基础分支名直接传递给git rebase命令，而未对后续参数进行充分过滤和转义。攻击者可在分支名中注入“--exec”标志，该标志会指示Git在重演每个提交后执行一条Shell命令，从而以Gogs服务进程权限执行任意命令。

虽然“Rebase before merging”默认未启用，但任何仓库所有者或管理员均可通过设置中的开关开启。由于Gogs默认开启开放注册且不限制创建仓库，未认证攻击者可先注册账号并创建仓库，再启用rebase合并，全程无需其他用户交互。

成功利用该漏洞后，攻击者可完全控制Gogs服务器，读取所有仓库（包括其他用户的私有仓库）、转储凭据（密码哈希、API令牌、SSH密钥、2FA密钥）、横向移动至其他内网系统，并篡改任何托管仓库的代码。

Rapid7已发布Metasploit利用模块和入侵指标（IoCs）帮助防守方排查。Gogs维护者于3月中旬收到漏洞报告并确认，但截至发稿时尚未发布补丁。这是半年内第二个被公开披露的Gogs零日漏洞，此前Wiz在12月披露了CVE-2025-8110符号链接处理不当问题，已被在野利用多月。

---

来源：https://www.securityweek.com/gogs-zero-day-exposes-servers-to-remote-code-execution/
原文发布时间：2026-05-29

热心网友7

这个漏洞确实很严重，CVSS 9.4几乎意味着对服务器的完全掌控。最危险的地方在于Gogs默认开放注册且不限制创建仓库，攻击者不需要其他用户交互就能触发。提醒一下用Gogs做自托管的朋友，赶紧检查一下是否开启了“Rebase before merging”选项，暂时最好禁用它。另外，留意一下数据库中是否有异常的分支名包含“--exec”之类的标志。官方补丁还没出的话，可以考虑用WAF或者Git钩子临时拦截可疑参数。大家有在用的也记得关注上游更新。