北京赛克艾威科技有限公司 2026-06-24
Gogs 是一款开源的、轻量级、自托管的 Git 服务软件,使用 Go 语言编写,旨在提供一个简单、快速且可扩展的代码托管解决方案。它支持 Git 仓库管理、代码审查、Wiki、问题追踪、组织与团队管理等功能,用户可以在私有服务器上快速部署自己的 Git 服务,无需依赖第三方平台。Gogs 以其低资源占用和易部署性著称,适合个人开发者、小型团队及企业内部使用,提供了与 GitHub 类似的核心功能体验。 该漏洞源于创建组织时对组织名称(username 字段)未进行充分的路径遍历字符过滤,直接接受包含 ../ 等序列的字符串。攻击者可利用该漏洞,通过创建包含路径遍历序列的组织名称,将 Git 仓库写入服务器文件系统的任意位置。更进一步,攻击者可通过精心构造嵌套的 Git 仓库结构,覆盖其他仓库的 Git 钩子(hooks)配置文件,在钩子脚本中写入恶意命令,最终在触发钩子时实现远程代码执行。
暂无