文章总结： Gogs项目爆出严重漏洞CVE-2026-25921，CVSS评分9.3。漏洞源于LFS存储缺乏隔离及哈希校验缺失，攻击者可覆盖共享对象注入恶意代码，导致供应链攻击。官方已在v0.14.2版本修复，建议管理员立即升级以保障存储库安全。 综合评分： 90 文章分类： 漏洞分析,漏洞预警,供应链安全

Gogs 存在严重 CVSS 9.3 级漏洞，可将存储库变成恶意软件传播途径

sec随谈 sec随谈

sec随谈

2026年3月10日 08:53 北京

Gogs 项目是一个广受欢迎的自托管 Git 服务，以其简洁易用和便捷的设置而著称。然而，该项目近日遭遇了一个严重的安全漏洞，该漏洞可能将受信任的 Git 代码库变成恶意软件的传播途径。CVE -2026-25921 的CVSS 评分高达 9.3，严重性极高，它暴露了 Gogs 处理大型文件存储 (LFS) 方式中的一个根本性缺陷。

问题的核心在于存储库之间缺乏隔离。Gogs 目前将所有 LFS 对象存储在一个共享目录中，而没有将唯一的存储库 ID 附加到存储路径上。

该风险的技术缺陷涉及两个关键故障：

• 路径冲突：由于存储路径完全由文件的 OID（对象 ID）决定，因此任何存储库都可以指向服务器上的同一文件路径。
• 缺少内容哈希验证：Gogs 不验证上传的 LFS 文件的内容是否与其声称的 SHA-256 哈希值相符。

正如该公告中关于底层代码的说明所指出的那样：“Gogs 不会根据其声称的 SHA-256 验证上传的 LFS 文件内容，这意味着攻击者可以操纵上传的文件，例如注入后门。”

该漏洞的加剧源于一个架构假设，即客户端重试始终是良性的。源代码中包含一条注释，暗示可以“允许”保留部分文件，因为重试会“安全地覆盖”它们，前提是 OID 是唯一的。然而，“对于恶意客户端，此假设并不成立”。攻击者可以故意为他们不拥有的文件提供一个合法的 OID，然后用恶意版本覆盖它。

这一缺陷为破坏性极强的供应链攻击打开了方便之门。

攻击者可以跨不同的存储库覆盖常见的 LFS 对象（例如大型二进制文件、数据集或媒体）。

当合法用户从 Gogs 网页下载受影响的 LFS 对象时，系统不会发出文件已被篡改的警告。

所有托管在 Gogs 实例上的 LFS 对象都容易被恶意替换。

Gogs 团队已在最新版本中修复了此漏洞。强烈建议管理员立即升级。此修复程序可确保对上传的 LFS 对象进行验证，以保证其内容与声称的 SHA-256 哈希值匹配，从而防止上传篡改或恶意文件。

参考链接：

https://github.com/gogs/gogs/releases/tag/v0.14.2

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《Gogs 存在严重 CVSS 9.3 级漏洞，可将存储库变成恶意软件传播途径》