Gogs 曝出通过 git rebase 进行参数注入的远程代码执行漏洞,攻击者无需管理员权限,仅需低权限用户构造包含恶意参数的合并请求,即可在服务器上执行任意系统命令并完全接管服务。
利用前置条件:
-
低权限用户(默认开启注册功能)
目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、临时防护建议、技术原理与复现细节。
因该漏洞相关信息已在互联网上公开传播,为提醒用户及时防范并降低安全风险,特发布本安全风险通告。
01
漏洞影响范围
受影响的软件版本:
Gogs <= 0.14.2
Gogs 0.15.0+dev(包括 commit b53d3162 及此前支持变基合并的所有历史版本)
02
修复建议
正式防护方案
截至2026年5月29日,官方尚未发布针对该漏洞的修复补丁。建议受影响用户密切关注官方存储库更新,及时跟进后续补丁。
临时缓解措施
-
禁用用户自主注册:在配置文件 app.ini 中设置 DISABLE_REGISTRATION = true,防止未经信任的外部用户自行创建账号。
-
限制存储库创建数量:在配置文件 app.ini 中设置 MAX_CREATION_LIMIT = 0,或在管理员面板中将特定用户的最大存储库创建数限制为 0,切断普通用户通过自建存储库开启变基合并的攻击路径。
-
审计已有存储库:对现有共享存储库的写权限进行严格控制,并定期排查是否存在异常的分支名称。
03
漏洞描述
近日,安全研究人员披露了开源自托管 Git 服务 Gogs 中存在的参数注入漏洞。该漏洞源于系统内部的 Merge() 函数在处理拉取请求的变基操作时,直接将用户可控的 PR 基准分支名称拼接进入 git rebase 命令,且未添加 POSIX 规范的双短横线(–)分隔符。攻击者可以通过向服务器推送一个精心构造的、以特定 Git 命令行参数(如 –exec=)命名的特殊分支,使底层 Git 解析器将该分支名错误地识别为功能选项。当系统触发“在合并前变基(Rebase before merging)”操作时,注入的参数将调用系统 Shell 执行附带的恶意指令。此漏洞对启用了开放注册及未限制存储库创建的默认配置环境具有极高的危害性,攻击者可在无需与其他用户交互的情况下实现任意代码执行,进而导致存储库源码泄漏或服务器完全失控。
04
漏洞复现
360漏洞研究院已复现 Gogs git rebase 参数注入远程代码执行漏洞,通过向目标系统发送精心构造的合并请求,成功触发 git rebase 底层的参数注入,导致服务器执行了系统命令 id 并将结果写入 /tmp/evil 文件中,证实了远程任意代码执行的危害。
Gogs git rebase 参数注入远程代码执行漏洞复现
05
产品侧支持情况
360安全智能体:支持该漏洞攻击的智能分析。
360测绘云 Quake:默认支持该产品的指纹识别。
360高级持续性威胁预警系统:预计 2026年06月01日发布规则更新包,支持该漏洞利用行为的检测。
360资产与漏洞检测管理系统:预计 2026年06月01日发布规则更新包,支持该漏洞利用行为的检测。
本地安全大脑:默认支持该漏洞的PoC检测。
06
时间线
2026年05月29日,360漏洞研究院发布本安全风险通告。
07
参考链接
https://www.rapid7.com/blog/post/ve-authenticated-rce-via-argument-injection-gogs-unfixed/
08
更多漏洞情报
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
网址:https://vi.loudongyun.360.net
360官网:https://www.360.cn/
“洞”悉网络威胁,守护数字安全
关于我们
360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。
评论(0)