自架Git服務Gogs揭3項高風險漏洞,遠端程式碼執行與帳號接管風險升高
漏洞概要
Gogs團隊修補3項高風險資安漏洞,涵蓋遠端程式碼執行、雙因素驗證(2FA)驗證缺陷與Wiki功能風險,採用該自架Git服務的企業與開發團隊應留意受影響版本並儘速更新。
實際利用與影響範圍
美國網路安全主管機關CISA證實,影響自架Git服務Gogs的資安漏洞CVE-2025-8110已被實際利用。資安業者也警告,目前已有超過700個Gogs實例遭入侵。
技術細節與風險分析
- 其中一項漏洞涉及遠端程式碼執行(RCE),允許攻擊者在經身分驗證後,以系統權限執行任意命令,可能導致敏感資料遭未經授權存取。
- 另一項漏洞為雙因素驗證(2FA)邏輯缺陷,可能讓攻擊者在特定條件下繞過驗證機制,進而接管帳號。
- 第三項為檔案刪除問題,若未妥善處理,可能導致服務可用性受影響或資料遺失。
後續應對措施
Gogs已發布0.13.2版本更新,用以修補上述漏洞。相關使用者應立即升級至最新版本,並加強系統監控與安全設定,以降低風險。