【漏洞通告】Gogs路径遍历远程代码执行漏洞(CVE-2026-52813)
发布时间 2026-06-25一、漏洞概述

Gogs是一款使用Go语言开发的开源自托管Git服务平台,可用于搭建企业或个人代码托管系统,支持Git仓库管理、组织与团队管理、权限控制、问题跟踪、代码审查、Webhook及API等功能,具有部署简单、资源占用较低和跨平台运行等特点。
2026年6月25日,威廉希尔500欧洲指数安全应急响应中心(VSRC)监测到Gogs路径遍历远程代码执行漏洞。该漏洞存在于internal/database/org.go等相关代码中,由于系统未对组织名称中的路径遍历序列进行严格校验,导致仓库可被创建到预期目录之外。攻击者可构造恶意组织名称,将嵌套Git仓库写入其他仓库的本地工作目录,篡改hooks/update等Git Hooks脚本并触发执行,从而以Gogs服务进程身份执行任意命令。
二、影响范围
Gogs < 0.14.3
在默认允许用户自行注册并创建组织的配置下,未经管理员授权的外部用户可能注册普通账户,并通过组织创建及仓库操作完成漏洞利用。
三、安全措施
3.1 升级版本
官方已发布修复补丁,以修复该漏洞
Gogs >=/new_type/aqtg/20260625/ /0.14.3
下载链接:
https://github.com/gogs/gogs/releases
3.2 临时措施
若暂时无法升级,建议采取以下措施降低漏洞利用风险:
关闭用户自助注册功能,仅允许管理员创建受信任账户;
限制普通用户创建组织、仓库以及调用相关API的权限;
在反向代理、WAF或API网关层拦截组织名称及相关参数中的、、URL编码路径分隔符和双重编码内容;
对组织名称、用户名及仓库名称实施严格白名单校验,仅允许字母、数字、连字符和下划线等安全字符;
禁止直接使用用户输入拼接文件系统路径,并在路径操作前执行规范化处理;
校验规范化后的目标路径必须位于预设仓库存储根目录之内;
以低权限独立账户运行Gogs,限制其对系统目录、配置目录和其他业务目录的写入权限;
对Git Hooks目录实施额外访问控制,禁止普通仓库操作修改hooks/update等服务器端Hook文件;
限制Gogs容器文件系统权限,启用只读根文件系统,并仅挂载必要的数据目录;
检查data/tmp/local-r、仓库存储目录及其他可写目录中是否存在异常嵌套的.git目录或Hook脚本;
审计近期组织创建、仓库创建、API调用、Git Push及服务进程命令执行日志;
若发现异常Hook文件、可疑组织名称或命令执行痕迹,应立即隔离服务器,并轮换数据库密码、API令牌、SSH密钥及其他凭据。
3.3 通用建议
定期更新系统补丁,减少系统漏洞,提升服务器的安全性。
加强系统和网络的访问控制,修改防火墙策略,关闭非必要的应用端口或服务,减少将危险服务(如SSH、RDP等)暴露到公网,减少攻击面。
使用企业级安全产品,提升企业的网络安全性能。
加强系统用户和权限管理,启用多因素认证机制和最小权限原则,用户和软件权限应保持在最低限度。
启用强密码策略并设置为定期修改。
3.4 参考链接
https://github.com/gogs/gogs/security/advisories/GHSA-c39w-43gm-34h5/
https://nvd.nist.gov/vuln/detail/CVE-2026-52813


京公网安备11010802024551号