答え公開済み27 ソース
開発現場を揺るがす「修正されない」深刻な脆弱性:GogsのRCEゼロデイ問題
自己ホスト型GitサービスのGogsに、深刻な引数インジェクションの脆弱性(CVSS 9.4)が発見された。認証済みの一般ユーザーが、悪意あるブランチ名を通じてgit rebaseに execフラグを注入し、サーバー上でリモートコード実行が可能になる[1][3]。 この脆弱性は、Gogsの単独メンテナーが数ヶ月、あるいは数年にわたり深刻なセキュリティ報告にパッチを適用せず、反応さえしないという長年のパターンの一部であり、ユーザーに対してプラットフォーム移行を促す声が高まっている[21][30][36]。
688K0
AI プロンプト
openai.comCreate a landscape editorial hero image for this Studio Global article: What critical unpatched remote code execution vulnerability was disclosed in the open-source Git service Gogs, what are its technical detail. Article summary: Here is a comprehensive answer covering the vulnerability, its technical details, the broader pattern of delayed response, and recommended actions.. Topic tags: general, general web, government. Reference image context from search candidates: Reference image 1: visual subject "How a Gogs Path Traversal Vulnerability Enables Remote Code Execution (CVE‑2025‑8110). Gogs Path Traversal and Remote Code Execution is a critical vulnerability affecting the self-" source context "Is Your Git Service Safe? How a Gogs Path Traversal Vulnerability Enables Remote Code Execution (CVE‑2025‑8110) | Ridge " Reference image 2: visual subject "How a Gogs Path Traversal Vulnerabil
なぜ修正されないのか? 単独メンテナーが抱えるオープンソースの構造的リスク
今回の未修正ゼロデイは、Gogsプロジェクトを追跡してきた人々にとっては驚きではありません。これは、プロジェクトの事実上唯一のメンテナーが、セキュリティ報告に対して長期間沈黙を守るという、複数年にわたるパターンの最新かつ最も深刻な例に過ぎません。この無視の積み重ねは、複数の独立した研究チームによって克明に記録されています。
- 2024年7月 (SonarSource): 研究者らは、Gogsに存在する4件の未修正の脆弱性を公開しました。これには、組み込みSSHサーバーでの引数インジェクションや内部ファイル削除など、いずれも深刻度がクリティカル(CVSS 9.9)のバグが含まれています。彼らはメンテナーに報告しましたが、最初の受領確認の後、連絡は途絶え、パッチが提供されることはありませんでした
。
- 2024年11月 (独立系研究者): シンボリックリンクを悪用した別の未修正RCE(CVE-2024-44625)が報告されましたが、完全に無視され、SonarSourceの事例をなぞる結果となりました
。
- 2025年12月 (Wiz Research): パストラバーサルのゼロデイ脆弱性(CVE-2025-8110)が実際に悪用されているのが発見されました。この攻撃により、インターネットに接続された700台以上のサーバーが侵害され、米国サイバーセキュリティ・社会基盤安全保障庁(CISA)が緊急警告を発出し、同脆弱性を「既知の悪用脆弱性(KEV)」カタログに追加する事態となりました
。
Studio Global AI
Search, cite, and publish your own answer
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
人々も尋ねます
「開発現場を揺るがす「修正されない」深刻な脆弱性:GogsのRCEゼロデイ問題」の短い答えは何ですか?
自己ホスト型GitサービスのGogsに、深刻な引数インジェクションの脆弱性(CVSS 9.4)が発見された。認証済みの一般ユーザーが、悪意あるブランチ名を通じてgit rebaseに execフラグを注入し、サーバー上でリモートコード実行が可能になる[1][3]。
最初に検証する重要なポイントは何ですか?
自己ホスト型GitサービスのGogsに、深刻な引数インジェクションの脆弱性(CVSS 9.4)が発見された。認証済みの一般ユーザーが、悪意あるブランチ名を通じてgit rebaseに execフラグを注入し、サーバー上でリモートコード実行が可能になる[1][3]。 この脆弱性は、Gogsの単独メンテナーが数ヶ月、あるいは数年にわたり深刻なセキュリティ報告にパッチを適用せず、反応さえしないという長年のパターンの一部であり、ユーザーに対してプラットフォーム移行を促す声が高まっている[21][30][36]。
次の実践では何をすればいいでしょうか?
当面の対策は、「Rebase before merging」オプションの無効化と、信頼できるユーザーのみにネットワークアクセスを制限すること。長期的には、より活発にメンテナンスされているGiteaのようなフォークへの移行を検討する必要がある[3][7]。
情報源
- securityboulevard.comSecuring Developer Tools: Unpatched Code Vulnerabilities in Gogs (2/2)
- sonarsource.comSecuring Developer Tools: Unpatched Code Vulnerabilities in Gogs ...
- sonarsource.comUnpatched Code Vulnerabilities in Gogs (1/2)
- fysac.github.ioUnpatched Remote Code Execution in Gogs
- thehackernews.comCISA Warns of Active Exploitation of Gogs Vulnerability Enabling ...
Loading comments...
Comments
0 comments