【漏洞通告】Gogs路径遍历远程代码执行漏洞(CVE-2026-52813)

发布时间 2026-06-25

一、漏洞概述


0625漏洞概述.png


Gogs是一款使用Go语言开发的开源自托管Git服务平台,可用于搭建企业或个人代码托管系统,支持Git仓库管理、组织与团队管理、权限控制、问题跟踪、代码审查、Webhook及API等功能,具有部署简单、资源占用较低和跨平台运行等特点。


2026年6月25日,威廉希尔500欧洲指数安全应急响应中心(VSRC)监测到Gogs路径遍历远程代码执行漏洞。该漏洞存在于internal/database/org.go等相关代码中,由于系统未对组织名称中的路径遍历序列进行严格校验,导致仓库可被创建到预期目录之外。攻击者可构造恶意组织名称,将嵌套Git仓库写入其他仓库的本地工作目录,篡改hooks/update等Git Hooks脚本并触发执行,从而以Gogs服务进程身份执行任意命令。



二、影响范围



Gogs < 0.14.3

在默认允许用户自行注册并创建组织的配置下,未经管理员授权的外部用户可能注册普通账户,并通过组织创建及仓库操作完成漏洞利用。



三、安全措施



3.1 升级版本


官方已发布修复补丁,以修复该漏洞

Gogs >=/new_type/aqtg/20260625/ /0.14.3

下载链接:

https://github.com/gogs/gogs/releases


3.2 临时措施


若暂时无法升级,建议采取以下措施降低漏洞利用风险:

关闭用户自助注册功能,仅允许管理员创建受信任账户;

限制普通用户创建组织、仓库以及调用相关API的权限;

在反向代理、WAF或API网关层拦截组织名称及相关参数中的、、URL编码路径分隔符和双重编码内容;

对组织名称、用户名及仓库名称实施严格白名单校验,仅允许字母、数字、连字符和下划线等安全字符;

禁止直接使用用户输入拼接文件系统路径,并在路径操作前执行规范化处理;

校验规范化后的目标路径必须位于预设仓库存储根目录之内;

以低权限独立账户运行Gogs,限制其对系统目录、配置目录和其他业务目录的写入权限;

对Git Hooks目录实施额外访问控制,禁止普通仓库操作修改hooks/update等服务器端Hook文件;

限制Gogs容器文件系统权限,启用只读根文件系统,并仅挂载必要的数据目录;

检查data/tmp/local-r、仓库存储目录及其他可写目录中是否存在异常嵌套的.git目录或Hook脚本;

审计近期组织创建、仓库创建、API调用、Git Push及服务进程命令执行日志;

若发现异常Hook文件、可疑组织名称或命令执行痕迹,应立即隔离服务器,并轮换数据库密码、API令牌、SSH密钥及其他凭据。


3.3 通用建议


定期更新系统补丁,减少系统漏洞,提升服务器的安全性。

加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。

使用企业级安全产品,提升企业的网络安全性能。

加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。

启用强密码策略并设置为定期修改。


3.4 参考链接


https://github.com/gogs/gogs/security/advisories/GHSA-c39w-43gm-34h5/

https://nvd.nist.gov/vuln/detail/CVE-2026-52813