Gogs認証済みユーザーによる任意コード実行の重大脆弱性

概要

【何が起きたか】自ホスト型Gitサービス「Gogs」に、CVSS 9.4の重大脆弱性が発見されました。認証済みユーザーが悪意あるブランチ名を使用したプルリクエストを作成し、Gitのrebase操作（コミット履歴を別ブランチに再適用する機能）中に「--exec」フラグを挿入することで、サーバ上での任意コード実行が可能になります。【影響範囲】管理者権限や他ユーザーの操作が不要で、アカウント作成だけで悪用可能です。デフォルト設定では登録ユーザーが自動的にリポジトリの所有者となり、rebase統合を有効にするだけで攻撃が実行できます。成功時はサーバ侵害、全リポジトリへのアクセス、認証情報の抜出、他テナントのプライベートリポジトリの閲覧などが可能で、Windows/Linux/macOS全プラットフォームに影響します。【対策】2026年5月時点で未パッチのため、緊急の修正版リリースが待たれています。

元記事（The Hacker News）