360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360安全云盘
360随身WiFi
360搜索
系统急救箱
重装大师
勒索病毒救助
急救盘
高危漏洞免疫
360压缩
驱动大师
鲁大师
360换机助手
360清理大师Win10
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
360加固保
360贷款神器
360手机浏览器
360安全云盘
360免费WiFi
安全客
手机助手
安全换机
360帮帮
清理大师
省电王
360商城
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360互助
信贷管家
360摄像机云台AI版
360摄像机小水滴AI版
360摄像机云台变焦版
360可视门铃
360摄像机云台1080p
家庭防火墙V5S增强版
家庭防火墙5Pro
家庭防火墙5SV2
家庭防火墙路由器5C
360儿童手表S1
360儿童手表8X
360儿童手表P1
360儿童手表SE5
360智能健康手表
行车记录仪M310
行车记录仪K600
行车记录仪G380
360行车记录仪G600
儿童安全座椅
360扫地机器人X90
360扫地机器人T90
360扫地机器人S7
360扫地机器人S6
360扫地机器人S5
360安全卫士
360杀毒
360文档卫士
360安全浏览器
360极速浏览器
360随身WiFi
360搜索
系统急救箱
重装大师
急救盘
勒索病毒救助
360压缩
驱动大师
鲁大师
360游戏大厅
360软件管家
360手机卫士
360防骚扰大师
手机急救箱
360加固保
360贷款神器
360免费WiFi
安全客
手机助手
一键root
安全换机
360帮帮
信用卫士
清理大师
省电王
360商城
流量卫士
360天气
360锁屏
手机专家
快剪辑
360影视
360娱乐
快资讯
你财富
360借条
360手机N7
360手机N6
Pro
360手机vizza
360手机N5S
360儿童手表6C
360儿童手表6W
360儿童手表SE2代
360手表SE2Plus
360老人手表
360摄像机大众版
360安全路由器P3
360安全路由器P2
360儿童机器人
外设产品
影音娱乐
平板电脑
二手手机
二代 美猴王版
二代
美猴王领航版
标准升级版
后视镜版
车载电器低权限接管服务器!Gogs 高危漏洞未修复
- 2026-06-02 14:49:15
Gogs 曝出通过 git rebase 进行参数注入的远程代码执行漏洞,攻击者无需管理员权限,仅需低权限用户构造包含恶意参数的合并请求,即可在服务器上执行任意系统命令并完全接管服务。
利用前置条件:
低权限用户(默认开启注册功能)
目前 360漏洞挖掘智能体已成功复现该漏洞。本文包含完整影响范围、临时防护建议、技术原理与复现细节。
因该漏洞相关信息已在互联网上公开传播,为提醒用户及时防范并降低安全风险,特发布本安全风险通告。
01
漏洞影响范围
受影响的软件版本:
Gogs <= 0.14.2
Gogs 0.15.0+dev(包括 commit b53d3162 及此前支持变基合并的所有历史版本)
02
修复建议
正式防护方案
截至2026年5月29日,官方尚未发布针对该漏洞的修复补丁。建议受影响用户密切关注官方存储库更新,及时跟进后续补丁。
临时缓解措施
禁用用户自主注册:在配置文件 app.ini 中设置 DISABLE_REGISTRATION = true,防止未经信任的外部用户自行创建账号。
限制存储库创建数量:在配置文件 app.ini 中设置 MAX_CREATION_LIMIT = 0,或在管理员面板中将特定用户的最大存储库创建数限制为 0,切断普通用户通过自建存储库开启变基合并的攻击路径。
审计已有存储库:对现有共享存储库的写权限进行严格控制,并定期排查是否存在异常的分支名称。
03
漏洞描述
近日,安全研究人员披露了开源自托管 Git 服务 Gogs 中存在的参数注入漏洞。该漏洞源于系统内部的 Merge() 函数在处理拉取请求的变基操作时,直接将用户可控的 PR 基准分支名称拼接进入 git rebase 命令,且未添加 POSIX 规范的双短横线(--)分隔符。攻击者可以通过向服务器推送一个精心构造的、以特定 Git 命令行参数(如 --exec=)命名的特殊分支,使底层 Git 解析器将该分支名错误地识别为功能选项。当系统触发“在合并前变基(Rebase before merging)”操作时,注入的参数将调用系统 Shell 执行附带的恶意指令。此漏洞对启用了开放注册及未限制存储库创建的默认配置环境具有极高的危害性,攻击者可在无需与其他用户交互的情况下实现任意代码执行,进而导致存储库源码泄漏或服务器完全失控。
04
漏洞复现
360漏洞研究院已复现 Gogs git rebase 参数注入远程代码执行漏洞,通过向目标系统发送精心构造的合并请求,成功触发 git rebase 底层的参数注入,导致服务器执行了系统命令 id 并将结果写入 /tmp/evil 文件中,证实了远程任意代码执行的危害。
Gogs git rebase 参数注入远程代码执行漏洞复现
05
产品侧支持情况
360安全智能体:支持该漏洞攻击的智能分析。
360测绘云 Quake:默认支持该产品的指纹识别。
360高级持续性威胁预警系统:预计 2026年06月01日发布规则更新包,支持该漏洞利用行为的检测。
360资产与漏洞检测管理系统:预计 2026年06月01日发布规则更新包,支持该漏洞利用行为的检测。
本地安全大脑:默认支持该漏洞的PoC检测。
06
时间线
2026年05月29日,360漏洞研究院发布本安全风险通告。
07
参考链接
https://www.rapid7.com/blog/post/ve-authenticated-rce-via-argument-injection-gogs-unfixed/
08
更多漏洞情报
建议您订阅360数字安全-漏洞情报服务,获取更多漏洞情报详情以及处置建议,让您的企业远离漏洞威胁。
邮箱:360VRI@360.cn
网址:https://vi.loudongyun.360.net
360官网:https://www.360.cn/
“洞”悉网络威胁,守护数字安全
关于我们
360 漏洞研究院,隶属于360数字安全集团。其成员常年入选谷歌、微软、华为等厂商的安全精英排行榜, 并获得谷歌、微软、苹果史上最高漏洞奖励。研究院是中国首个荣膺Pwnie Awards“史诗级成就奖”,并获得多个Pwnie Awards提名的组织。累计发现并协助修复谷歌、苹果、微软、华为、高通等全球顶级厂商CVE漏洞3000多个,收获诸多官方公开致谢。研究院也屡次受邀在BlackHat,Usenix Security,Defcon等极具影响力的工业安全峰会和顶级学术会议上分享研究成果,并多次斩获信创挑战赛、天府杯等顶级黑客大赛总冠军和单项冠军。研究院将凭借其在漏洞挖掘和安全攻防方面的强大技术实力,帮助各大企业厂商不断完善系统安全,为数字安全保驾护航,筑造数字时代的安全堡垒。
京公网安备 11000002000006号