軽量なセルフホスト型GitサービスであるGogsの深刻な欠陥により、攻撃者がリモートでコマンドを実行し、二要素認証を回避できる可能性があります。
この重大な問題は、プライベートなコードホスティングにGogsを利用している多くの組織に影響します。
0.13.3までのGogsはCVE-2025-64111の影響を受けます。これはCVSSスコア9.3のOSコマンドインジェクションのバグです。
これは以前の脆弱性に対する不完全な修正に起因しており、攻撃者がリポジトリのPUT contents APIを介して.git/configファイルを更新できてしまいます。
攻撃者は.git/configへのシンボリックリンクを作成してプッシュし、その後APIを使ってSSHコマンドなどの悪意あるGit設定を注入することで、サーバー上でリモートコード実行(RCE)に至ります。
まず、リポジトリへのプッシュ権限を持つ攻撃者がシンボリックリンクを追加します:ln -s .git/config link。それをコミットしてプッシュします。
APIのUpdateRepoFileは重要なセキュリティチェックを回避してしまい、.git/configに書き込みを行ってGit操作時にRCEを引き起こします。
GogsにはCVE-2025-64175(CVSS 7.7)など追加のリスクもあります。これは2FA回避で、攻撃者が認証情報を知っていれば、任意のユーザーのログインに対して自分のリカバリーコードを使用できてしまいます。
さらに、CVE-2026-24135(CVSS 7.2)では、Wikiのパストラバーサルにより、認証済みのファイル削除が可能になります。
直ちにGogs 0.13.4または0.14.0+devへアップグレードしてください。公開リポジトリへのアクセスを無効化し、強固な認証を徹底し、APIエンドポイントを監視してください。
これらの問題がない、活発に開発されているGogsのフォークであるGiteaへの移行も検討してください。現時点で公開されたエクスプロイトはありませんが、PoCにより武器化は容易です。
翻訳元: https://cyberpress.org/gogs-vulnerability/