Gogs 修复导致远程代码执行的严重零日漏洞

Gogs 已修复一个严重的安全零日漏洞，该漏洞允许攻击者入侵面向互联网的实例并访问任何代码仓库（包括私有仓库）。

这个参数注入漏洞尚未分配 CVE ID，只能被没有管理员权限的已认证攻击者利用，影响所有 Gogs 0.14.2 及以下版本和 0.15.0+dev 版本。

攻击者可利用该漏洞入侵目标服务器，读取任何代码仓库（包括私有仓库），窃取凭据，横向移动到网络上的其他系统，并篡改任何托管的源代码。

虽然威胁行为者需要至少拥有基本用户权限才能利用该漏洞，但 Rapid7 安全研究员 Jonah Burgess（发现并报告该漏洞的人）表示，它会影响所有使用默认配置的 Gogs 服务器。

“由于 Gogs 默认启用开放注册（DISABLE_REGISTRATION = false）且对仓库创建没有限制（MAX_CREATION_LIMIT = -1），未经身份验证的攻击者只需在任何默认配置的实例上创建账户和仓库即可，”Burgess 两周前警告说。

“任何创建仓库的注册用户都会自动成为其所有者。从那里开始，在设置中启用 rebase 合并只需切换一个开关，整个利用链可以在无需任何其他用户交互的情况下运行。”

在周末，即网络安全公司在多次状态更新未获回应后公开披露该漏洞 10 天后，Gogs 维护者于 6 月 7 日发布了 0.14.3 版本以修复此漏洞，并请求分配 CVE ID。

“Rapid7 建议所有 Gogs 用户立即升级。该修复已通过 pull request #8301 实施，”Burgess 补充道。

Rapid7 还分享了针对无法立即修补 Gogs 实例的用户的缓解措施，要求他们：

• 限制用户注册（在 app.ini 中设置 DISABLE_REGISTRATION = true）以防止不受信任的用户创建账户。这是最有影响力的缓解措施，因为利用过程完全包含在单个用户的仓库内。
• 限制仓库创建（在 app.ini 中设置 MAX_CREATION_LIMIT = 0）以防止用户创建自己的仓库。这也可以在管理面板中按用户设置“Max Repo Creation”。这会阻断最简单的攻击路径（创建启用了 rebase 的新仓库），但无法阻止拥有现有仓库写入权限的用户进行利用。
• 审计 rebase 合并设置：虽然可以在“设置 > 高级”下按仓库禁用“合并前 Rebase”，但请注意，这对于拥有或具有仓库管理员权限的恶意用户来说并不是有效的防御，因为他们可以随时重新启用 rebase。

Gogs 使用 Go 编写，旨在作为 GitHub Enterprise 或 GitLab 的替代方案，通常作为远程协作平台暴露在互联网上。

互联网安全监控机构 Shadowserver 目前追踪到超过 2,300 个暴露在互联网上的 Gogs 服务器，其中大部分位于亚洲（1,839 个）和欧洲（312 个），而 Shodan 列出了略多于 1,000 个带有 Gogs 指纹的 IP 地址。

Burgess 还表示，该漏洞与 Gogs 安全团队近年来修复的其他参数注入漏洞（例如 CVE-2024-39933、CVE-2024-39932、CVE-2026-26194 和 CVE-2024-39930）非常相似，但它影响的是从未被处理过的不同代码路径（Merge()）。

2026 年 12 月初，Gogs 修复了另一个 RCE 漏洞（CVE-2025-8110），该漏洞在零日攻击中被利用以入侵数百台服务器。

“许多此类实例默认配置为启用‘开放注册’，从而造成了巨大的攻击面，”Wiz 安全研究员（报告该漏洞的人）表示。

1 月 12 日，CISA 确认 CVE-2025-8110 正在野外被滥用，并将其添加到其已知被利用漏洞目录中，命令联邦文职行政部门（FCEB）机构在三周内（即 2 月 2 日前）保护其服务器。

“此类漏洞是恶意网络行为者常用的攻击向量，并对联邦企业构成重大风险，”CISA 当时警告说。