Gogsのゼロデイ脆弱性により、ハッカーがリモートコード実行を可能に

セルフホスト型Gitサービス「Gogs」に未修正のゼロデイ脆弱性が存在し、攻撃者がインターネットに公開されたインスタンスでリモートコード実行（RCE）を行える可能性があります。

GitHub EnterpriseやGitLabの代替として設計され、Goで記述されたGogsは、リモートコラボレーションのためにオンラインで公開されることが多いサービスです。

この深刻な引数インジェクションセキュリティ脆弱性にはまだCVE IDが割り当てられておらず、最新リリースバージョン（Gogs 0.14.2および0.15.0+dev）に影響し、管理者権限を持たない認証済み攻撃者のみが悪用可能です。

ただし、悪用には基本的なユーザー権限が必要であるものの、この脆弱性を発見したRapid7のシニアセキュリティ研究者Jonah Burgesは、デフォルト設定のすべてのGogsサーバーが影響を受けると述べています。

「Gogsはデフォルトでオープン登録が有効（DISABLE_REGISTRATION = false）であり、リポジトリ作成数に制限がない（MAX_CREATION_LIMIT = -1）ため、未認証の攻撃者はデフォルト設定のインスタンスにアカウントとリポジトリを作成するだけでよい」と、Burgesは木曜日に警告しました。

「リポジトリを作成した登録ユーザーは自動的にそのオーナーになります。そこからリベースマージを有効にするのは設定の1つのトグル操作で済み、エクスプロイトチェーン全体を他のユーザーとのやり取りなしに実行できます。」

悪用に成功すると、攻撃者は「リベースによるマージ」操作中に悪意のあるブランチ名を使用してgit rebaseに「—exec」フラグを注入するプルリクエストを通じて、Gogsサーバープロセスのユーザーとして任意のコードをリモートで実行できます。

攻撃者はこの脆弱性を悪用し、「サーバーを侵害し、インスタンス上のすべてのリポジトリ（他ユーザーのプライベートリポジトリを含む）を読み取り、認証情報（パスワードハッシュ、APIトークン、SSHキー、2FAシークレット）をダンプし、ネットワーク上の他のシステムへ横展開し、ホストされているリポジトリのコードを改ざんする」ことができます。

Burgesはまた、この脆弱性が近年Gogsで修正された他の引数インジェクション脆弱性（例：CVE-2024-39933、CVE-2024-39932、CVE-2026-26194、CVE-2024-39930）に類似しているが、これまで修正されたことのない別のコードパス（Merge()）に影響すると付け加えました。

研究者は3月17日にGogsのメンテナーにこの脆弱性を報告しましたが、3月28日に報告が確認されたにもかかわらず、パッチの提供や進捗状況の更新を求めるその後の問い合わせへの回答はまだ得られていません。

インターネットセキュリティ監視機関のShadowserverは現在、オンラインに公開された2,400台以上のGogsサーバーを追跡しており、その大半はアジア（1,894台）とヨーロッパ（319台）に集中しています。一方、ShodanではGogsのフィンガープリントを持つ1,000件強のIPアドレスが確認されています。

12月初旬、Gogsセキュリティチームは別のGogs RCE脆弱性（CVE-2025-8110）にパッチを適用しました。この脆弱性は数百台のサーバーを侵害するためにゼロデイ攻撃で悪用されていたものです。

「これらのインスタンスの多くはデフォルトで『オープン登録』が有効になっており、巨大な攻撃対象領域を生み出している」と、当時この脆弱性を報告したWizのセキュリティ研究者は述べました。

Wiz Researchは7月にインターネットに公開された侵害済みGogsサーバーを調査中にCVE-2025-8110を発見し、7月17日にGogsのメンテナーに報告しました。メンテナーは3か月後の10月30日にWizの報告を確認し、1月初旬にCVE-2025-8110のパッチをリリースしました。

1月12日、CISAはCVE-2025-8110が活発に悪用されているというWizの報告を確認し、このセキュリティ脆弱性を実際に悪用されている脆弱性のカタログに追加するとともに、連邦民間行政機関（FCEB）に対して2月2日までにサーバーを保護するよう命じました。

「この種の脆弱性は悪意あるサイバーアクターにとって頻繁に利用される攻撃経路であり、連邦政府のエンタープライズに重大なリスクをもたらす」と、CISAは当時警告しました。