**Gogs**は、インターネットに接続されたインスタンスを侵害し、プライベートリポジトリを含むあらゆるリポジトリにアクセスできる可能性のある重大なセキュリティゼロデイ脆弱性のパッチをリリースしました。まだCVE IDが割り当てられていないこの引数インジェクション脆弱性は、管理者権限を持たない認証済み攻撃者によって悪用される可能性があります。 この脆弱性を悪用する攻撃者は、標的サーバーを侵害し、プライベートリポジトリを読み取り、認証情報を盗み、ネットワーク内でラテラルムーブメントを行い、ホストされているソースコードを変更することができます。 ### 悪用経路 脆弱性を発見し報告した**Rapid7**のセキュリティ研究者である**Jonah Burgess**氏は、悪用には基本的なユーザー権限が必要であるにもかかわらず、この脆弱性がデフォルト設定のすべての**Gogs**サーバーに影響を与えると指摘しました。 「**Gogs**はデフォルトでオープン登録（DISABLE_REGISTRATION = false）が有効になっており、リポジトリ作成に制限がない（MAX_CREATION_LIMIT = -1）ため、認証されていない攻撃者はデフォルト設定のインスタンスでアカウントとリポジトリを簡単に作成できます」と**Burgess**氏はパッチリリース2週間前に警告しました。 さらに彼は、「リポジトリを作成した登録済みユーザーは自動的にそのオーナーになります。そこから、リベースマージを有効にするのは設定の単一トグルであり、他のユーザーの操作なしにエクスプロイトチェーン全体を操作できます」と説明しました。 ### パッチと緩和策 **Rapid7**が複数のステータスアップデートへの対応不足により脆弱性を公に開示してから10日後の週末、**Gogs**のメンテナーは6月7日にバージョン0.14.3をリリースしてこの脆弱性を修正し、CVE IDを要求しました。 **Rapid7**は、すべての**Gogs**ユーザーに直ちにアップグレードすることを強く推奨しています。修正はプルリクエスト#8301を通じて実装されました。 **Gogs**インスタンスを直ちにパッチできないユーザーのために、**Rapid7**は重要な緩和策を共有しました。 * **ユーザー登録の制限**: `app.ini`で`DISABLE_REGISTRATION = true`を設定し、信頼できないユーザーがアカウントを作成できないようにします。このエクスプロイトは単一ユーザーのリポジトリ内で完結するため、最も影響力の大きい緩和策です。 * **リポジトリ作成の制限**: `app.ini`で`MAX_CREATION_LIMIT = 0`を設定し、ユーザーが独自のリポジトリを作成できないようにします。これは管理者パネルの「最大リポジトリ作成数」を通じてユーザーごとに設定することもできます。これにより最も簡単な攻撃経路はブロックされますが、既存のリポジトリへの書き込みアクセス権を持つユーザーによる悪用を防ぐことはできません。 * **リベースマージ設定の監査**: 設定 > 詳細設定でリポジトリごとに「マージ前にリベース」を無効にすることも可能ですが、リポジトリのオーナーまたは管理者権限を持つ悪意のあるユーザーはリベースを自由に再有効化できるため、効果的な防御策ではありません。 ### 広範な露出 Goで記述され、**GitHub Enterprise**または**GitLab**の代替として設計された**Gogs**は、リモートコラボレーションプラットフォームとしてオンラインで頻繁に公開されています。 インターネットセキュリティ監視機関である**Shadowserver**は現在、2,300を超えるインターネットに露出した**Gogs**サーバーを追跡しており、その大半はアジア（1,839）とヨーロッパ（312）に位置しています。別途、**Shodan**は**Gogs**のフィンガープリントを持つ1,000を超えるIPアドレスをリストアップしています。  ### 脆弱性のパターン **Burgess**氏は、今回の脆弱性は、**Gogs**のセキュリティチームが近年修正してきた他の引数インジェクション脆弱性、具体的には**CVE-2024-39933**、**CVE-2024-39932**、**CVE-2026-26194**、および**CVE-2024-39930**と非常によく似ていると指摘しました。しかし、今回の新しい脆弱性は、これまで対処されていなかった別のコードパス（`Merge()`）に影響を与えています。 2026年12月初旬、**Gogs**は、ゼロデイ攻撃で数百のサーバーを侵害するために積極的に悪用されていた別のRCE脆弱性である**CVE-2025-8110**のパッチをリリースしました。この脆弱性を報告した**Wiz**のセキュリティ研究者は、「これらのインスタンスの多くはデフォルトで『オープン登録』が有効になっており、大規模な攻撃対象領域を生み出しています」と述べています。 2026年1月12日、**CISA**は**CVE-2025-8110**が実際に悪用されていることを確認し、積極的に悪用されている脆弱性のカタログに追加しました。**CISA**は、連邦民間執行機関（FCEB）に対し、3週間以内、すなわち2月2日までにサーバーを保護するよう命じました。 「この種の脆弱性は、悪意のあるサイバー攻撃者にとって頻繁な攻撃ベクトルであり、連邦企業に重大なリスクをもたらします」と**CISA**はその当時警告しました。