注目★★★★★GitHub Advisory
Gogs に CVSS 9.9 の RCE 脆弱性、PRブランチ名でサーバ乗っ取りが可能
30秒で把握
- 1Gogs 0.14.2 以前に CVSS 9.9 の RCE 脆弱性、認証ユーザがサーバ乗っ取り可能
- 2マルチテナント環境で全リポジトリ・DB認証情報窃取・サプライチェーン攻撃に直結
- 3即時対応としてRebaseマージ機能の無効化と修正版へのアップグレードを実施
要約
Gogs 0.14.2 以前に CVSS 9.1 スコア 9.9 の深刻な RCE 脆弱性 (CVE-2026-52806) が発見された。認証済みユーザが細工したブランチ名を持つPRを作成するだけで、マージ時の `git rebase --exec` に引数インジェクションを起こしてサーバ上で任意コードを実行できる。攻撃が成功するとGogs プロセス権限で全リポジトリの読み取り・DB内の認証情報窃取・ホストコードの改ざんが可能となる。
あなたへの影響
Gogs をセルフホストしている組織は「Rebase before merging」機能を即座に無効化し、修正済みバージョンへのアップグレードを優先対応すること。
推奨:マルチテナント運用中のインスタンスでは、侵害の痕跡確認も含めたインシデント対応レベルの調査が必要になり得る。