**GitHub Enterprise**や**GitLab**の代替として設計され、Goで記述された**Gogs**は、リモートコラボレーションのためにオンラインで公開されることがよくあります。これにより、攻撃者にとって格好の標的となります。 ### 脆弱性 この重大な深刻度を持つ引数インジェクションのセキュリティ欠陥には、まだ**CVE** IDが割り当てられていません。最新リリースバージョン（**Gogs 0.14.2**および**0.15.0+dev**）に影響します。**Rapid7**のシニアセキュリティリサーチャーである**Jonah Burgess**氏によると、この脆弱性はデフォルト設定のすべての**Gogs**サーバーに影響します。 「**Gogs**はデフォルトでオープン登録が有効（DISABLE_REGISTRATION = false）であり、リポジトリ作成に制限がない（MAX_CREATION_LIMIT = -1）ため、認証されていない攻撃者はデフォルト設定のインスタンスにアカウントとリポジトリを作成するだけで済みます」と**Burgess**氏は警告しています。 本質的に、リポジトリを作成した登録済みユーザーは自動的にそのオーナーになります。「マージ前のリベース」設定を有効にすることは、設定で簡単に切り替え可能であり、さらなるユーザーインタラクションなしに、エクスプロイトチェーン全体を実行できるようになります。 ### 影響 この脆弱性を悪用することに成功すると、攻撃者は**Gogs**サーバープロセスユーザーとして任意のコードをリモートで実行できます。これは、「マージ前のリベース」操作中に悪意のあるブランチ名を使用して`git rebase`に`--exec`フラグをインジェクションするプルリクエストを通じて達成されます。 攻撃者はこの欠陥を利用して以下を行うことができます。 * サーバーを侵害する。 * インスタンス上のすべてのリポジトリ（他のユーザーのプライベートリポジトリを含む）を読み取る。 * 認証情報（パスワードハッシュ、APIトークン、SSHキー、2FAシークレット）をダンプする。 * ネットワークからアクセス可能な他のシステムにピボットする。 * ホストされているリポジトリのコードを改変する。 **Burgess**氏は、この脆弱性は**Gogs**によって以前に対処された他の引数インジェクションの欠陥（例：**CVE-2024-39933**、**CVE-2024-39932**、**CVE-2026-26194**、**CVE-2024-39930**）に似ていますが、まだパッチが適用されていない別のコードパス（`Merge()`）に影響すると指摘しています。 ### パッチの欠如と露出 研究者は3月17日に**Gogs**のメンテナーにこのセキュリティ欠陥を報告しました。報告は3月28日に承認されましたが、パッチはリリースされておらず、ステータスアップデートも提供されていません。 **Shadowserver**は現在、オンラインで公開されている2,400以上の**Gogs**サーバーを追跡しており、アジア（1,894）とヨーロッパ（319）に集中しています。**Shodan**は、**Gogs**のフィンガープリントを持つ1,000を超えるIPアドレスを特定しています。  *オンラインで公開されているGogsサーバー（ShadowServer）* ### 過去の脆弱性 12月、**Gogs**セキュリティチームは、数百のサーバーを侵害するためにゼロデイ攻撃で悪用された別の**Gogs** RCE脆弱性（**CVE-2025-8110**）にパッチを適用しました。その欠陥を報告した**Wiz**のセキュリティ研究者は、広範な「オープン登録」設定が大幅な攻撃対象領域を作成していることを強調しました。 **Wiz Research**は、侵害されたインターネット接続**Gogs**サーバーを調査中に**CVE-2025-8110**を発見しました。7月に脆弱性を報告した後、1月上旬にパッチがリリースされました。 1月12日、**CISA**は**CVE-2025-8110**の積極的な悪用を確認し、既知の悪用された脆弱性のカタログに追加しました。連邦市民執行機関（FCEB）は、2月2日までにサーバーを保護することが義務付けられました。 「この種の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と**CISA**は警告しました。