注目★★★★★GitHub Advisory
Gogs に組織名のパストラバーサルで RCE、Git hooks を上書き可能
30秒で把握
- 1Gogs の組織名パストラバーサルで任意パスへの書き込みと RCE が可能
- 2Git hooks/update を上書きされると任意 Bash コマンドがサーバー上で実行される
- 3セルフホスト Gogs インスタンスはパッチ確認と組織作成権限の制限を即実施
要約
Gogs に CVE-2026-52813 として組織名のパストラバーサル脆弱性が公開され、認証済み攻撃者がリモートコード実行 (RCE) を達成できる。組織名に `../` を含むパスを指定すると、`os.MkdirAll` がサニタイズなしで実行され、サーバー上の任意パスに Git リポジトリが書き込まれる。攻撃者は Gogs 内部の local worktree ディレクトリに入れ子リポジトリを作成し、`hooks/update` スクリプトを任意の Bash コマンドで上書きすることで RCE に至る。修正バージョンの有無を確認し、Gogs を自己ホストしているインスタンスは早急に対処が必要。
あなたへの影響
Gogs をセルフホストしているチームは、組織名入力のバリデーション回避による hooks 上書きリスクが現実的に存在するため。
推奨:パッチ適用または組織作成権限を信頼済みユーザーのみに制限する設定を今すぐ適用したい。