Rapid7 報告稱，流行的開源自於託管 Git 服務 Gogs 受到嚴重零日漏洞的影響，該漏洞會使伺服器面臨遠端程式碼執行 (RCE) 的風險。此嚴重性問題（CVSS 評分為 9.4）是一個參數注入漏洞，經過驗證的攻擊者可以透過帶有惡意分支名稱的拉取請求來利用該漏洞。Rapid7 在技術報告中解釋說，拉取請求會在“合併前的變基”合併操作期間將“ --exec標誌注入到git rebase中”，從而以 Gogs 伺服器進程用戶的權限執行命令。

雖然預設未啟用「合併前變基」操作，但任何儲存庫擁有者或管理員都可以啟用它，任何註冊用戶都會自動成為他們創建的儲存庫的擁有者。在變基過程中，合併函數會將拉取請求的基本分支名稱傳遞給git 變基函數，而不會阻止將後續參數解釋為標誌。

這家網路安全公司表示：「由於 Gogs 預設啟用開放註冊，並且對儲存庫的建立沒有限制，未經身份驗證的攻擊者可以輕易地在任何預設配置的實例上建立帳戶和儲存庫。」

任何程式碼庫擁有者只需在設定中切換一下即可啟用變基合併，整個攻擊鏈無需任何其他使用者互動即可完成。擁有已啟用變基合併的程式碼庫寫入權限的攻擊者可以直接利用此漏洞。

Rapid7 表示：「其結果是，攻擊者可以以 Gogs 伺服器進程使用者的身份執行任意命令，從而使攻擊者能夠攻破伺服器，讀取執行個體上的每個儲存庫（包括其他使用者的私人儲存庫），轉儲憑證（密碼雜湊、API 令牌、SSH 金鑰、2FA 金鑰），跳轉到其他可透過網路存取的系統，並修改任何代幣、SSH 金鑰、2FA 金鑰），跳轉到其他可透過網路存取的系統，並修改任何代幣

Gogs的維修人員在三月中旬就收到了安全漏洞的通知。儘管他們承認收到了漏洞報告，但截至發稿時，尚未發布任何修補程式。這是過去半年內公開揭露的第二個 Gogs 零日漏洞。去年 12 月，Wiz 詳細介紹了 CVE-2025-8110，這是一個處理符號連結不當的問題，已被利用數月之久。

資料來源：https://www.securityweek.com/gogs-zero-day-exposes-servers-to-remote-code-execution/