【安全圈】Gogs修复导致远程代码执行的严重零日漏洞

admin
admin
admin
0
文章
0
评论
2026-06-10 04:45:04 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Gogs修复一个严重的参数注入零日漏洞,允许认证攻击者远程代码执行并访问所有仓库。影响0.14.2及以下版本,需立即升级至0.14.3。缓解措施包括禁用开放注册、限制仓库创建和审计rebase设置。漏洞类似历史CVE,已存在野外利用案例。 综合评分: 85 文章分类: 漏洞分析,漏洞预警,解决方案,WEB安全,安全运营

cover_image

【安全圈】Gogs 修复导致远程代码执行的严重零日漏洞

安全圈

2026年6月9日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

Gogs 已修复一个严重的安全零日漏洞,该漏洞允许攻击者入侵面向互联网的实例并访问任何代码仓库(包括私有仓库)。

这个参数注入漏洞尚未分配 CVE ID,只能被没有管理员权限的已认证攻击者利用,影响所有 Gogs 0.14.2 及以下版本和 0.15.0+dev 版本。

攻击者可利用该漏洞入侵目标服务器,读取任何代码仓库(包括私有仓库),窃取凭据,横向移动到网络上的其他系统,并篡改任何托管的源代码。

虽然威胁行为者需要至少拥有基本用户权限才能利用该漏洞,但 Rapid7 安全研究员 Jonah Burgess(发现并报告该漏洞的人)表示,它会影响所有使用默认配置的 Gogs 服务器。

“由于 Gogs 默认启用开放注册(DISABLE_REGISTRATION = false)且对仓库创建没有限制(MAX_CREATION_LIMIT = -1),未经身份验证的攻击者只需在任何默认配置的实例上创建账户和仓库即可,”Burgess 两周前警告说。

“任何创建仓库的注册用户都会自动成为其所有者。从那里开始,在设置中启用 rebase 合并只需切换一个开关,整个利用链可以在无需任何其他用户交互的情况下运行。”

在周末,即网络安全公司在多次状态更新未获回应后公开披露该漏洞 10 天后,Gogs 维护者于 6 月 7 日发布了 0.14.3 版本以修复此漏洞,并请求分配 CVE ID。

“Rapid7 建议所有 Gogs 用户立即升级。该修复已通过 pull request #8301 实施,”Burgess 补充道。

Rapid7 还分享了针对无法立即修补 Gogs 实例的用户的缓解措施,要求他们:

  • 限制用户注册(在 app.ini 中设置 DISABLE_REGISTRATION = true)以防止不受信任的用户创建账户。这是最有影响力的缓解措施,因为利用过程完全包含在单个用户的仓库内。
  • 限制仓库创建(在 app.ini 中设置 MAX_CREATION_LIMIT = 0)以防止用户创建自己的仓库。这也可以在管理面板中按用户设置“Max Repo Creation”。这会阻断最简单的攻击路径(创建启用了 rebase 的新仓库),但无法阻止拥有现有仓库写入权限的用户进行利用。
  • 审计 rebase 合并设置:虽然可以在“设置 > 高级”下按仓库禁用“合并前 Rebase”,但请注意,这对于拥有或具有仓库管理员权限的恶意用户来说并不是有效的防御,因为他们可以随时重新启用 rebase。

Gogs 使用 Go 编写,旨在作为 GitHub Enterprise 或 GitLab 的替代方案,通常作为远程协作平台暴露在互联网上。

互联网安全监控机构 Shadowserver 目前追踪到超过 2,300 个暴露在互联网上的 Gogs 服务器,其中大部分位于亚洲(1,839 个)和欧洲(312 个),而 Shodan 列出了略多于 1,000 个带有 Gogs 指纹的 IP 地址。

Burgess 还表示,该漏洞与 Gogs 安全团队近年来修复的其他参数注入漏洞(例如 CVE-2024-39933、CVE-2024-39932、CVE-2026-26194 和 CVE-2024-39930)非常相似,但它影响的是从未被处理过的不同代码路径(Merge())。

2026 年 12 月初,Gogs 修复了另一个 RCE 漏洞(CVE-2025-8110),该漏洞在零日攻击中被利用以入侵数百台服务器。

“许多此类实例默认配置为启用‘开放注册’,从而造成了巨大的攻击面,”Wiz 安全研究员(报告该漏洞的人)表示。

1 月 12 日,CISA 确认 CVE-2025-8110 正在野外被滥用,并将其添加到其已知被利用漏洞目录中,命令联邦文职行政部门(FCEB)机构在三周内(即 2 月 2 日前)保护其服务器。

“此类漏洞是恶意网络行为者常用的攻击向量,并对联邦企业构成重大风险,”CISA 当时警告说。

END

阅读推荐

【安全圈】微软让步,撤回对白帽黑客的法律威胁

【安全圈】关键 Everest Forms Pro 漏洞被利用,可接管 WordPress 网站

【安全圈】可疑的 Polyfill 登录提示出现在东芝和无印良品网站上

【安全圈】谷歌 Gemini 语音助理曝漏洞,黑客利用通知信息为 AI “下毒”

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈 《【安全圈】Gogs 修复导致远程代码执行的严重零日漏洞》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0