Gogs 参数注入远程代码执行漏洞(QVD-2026-29984)

北京赛克艾威科技有限公司 2026-05-28


  • 漏洞编号:暂无
  • 漏洞等级:高危
  • 漏洞标签:奇安信CERT验证、技术细节公开、影响万级、关键漏洞
  • 发布时间:2026-05-28

漏洞描述

Gogs 是一款开源的自托管 Git 服务,它提供了简单易用的 Web 界面,帮助用户轻松管理代码仓库,支持多种认证方式和权限管理,适用于个人开发者及团队协作。 该漏洞源于 Merge\(\) 函数在调用 git rebase 时,未使用 POSIX 标准的 \-\-分隔符对 PR 的 BaseBranch 参数进行安全处理,直接将其拼接进命令行。攻击者可利用该漏洞,通过构造含 \-\-exec \= 命令的恶意分支名,在执行 git rebase 时触发远程代码执行。无需管理员权限、无需用户交互,默认配置下认证用户即可完全控制服务器、读取所有仓库及用户凭证。

修复建议

暂无

参考链接

https://ti.qianxin.com/vulnerability/detail/464969