つみかさね

CVE-2026-52806

Critical(9)

CVE-2026-52806 — Gogs git rebase 引数インジェクションによるRCE

公開日: 2026-06-24データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Gogsgogs.io< 0.14.3

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1現在使用しているGogsのバージョンを確認する(v0.14.3未満であれば影響を受ける)
  2. 2Gogs v0.14.3以降にアップデートする
  3. 3アップデートが困難な場合は、信頼できないユーザからのPRマージを一時停止する

影響対象

Gogs v0.14.3未満を運用しているすべての利用者

補足

  • -同バージョンで19件の脆弱性が修正されているため、早急なアップデートを推奨します
CVEGogsRCE引数インジェクションGitGo

概要

GogsのPull Requestマージ処理において、git rebase --exec コマンドへの引数インジェクションが可能な脆弱性です。リポジトリへの書き込み権限を持つ攻撃者が悪意あるPRを通じてサーバ上で任意コードを実行できる可能性があります。

CVSSベクトル

GHSAではCriticalと評価されています(数値スコアは非公開)。

項目内容
攻撃経路ネットワーク経由
攻撃複雑度
必要権限低(リポジトリへのPR作成権限)
ユーザ操作要(マージ操作)
影響範囲サーバ全体

影響を受けるソフトウェア

製品ベンダー影響バージョン
Gogsgogs.io< 0.14.3

修正バージョンと対応方法

修正バージョン: Gogs v0.14.3

  1. 現在使用しているGogsのバージョンを確認する(v0.14.3未満であれば影響を受ける)
  2. Gogs v0.14.3以降にアップデートする
  3. 即時アップデートが困難な場合は、信頼できないユーザからのPRのマージを一時停止することを検討する

関連リンク

データソース: GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-52813Gogs 組織名パストラバーサルによるGitフックRCECVSS 9CVE-2026-52811Gogs シンボリックリンクによるリポジトリ外ファイル書き込みCVSS 9CVE-2026-52800Gogs CSRF によるオーガナイゼーションオーナー乗っ取りCVSS 7.5

参考リンク

GHSA:https://github.com/gogs/gogs/security/advisories/GHSA-qf6p-p7ww-cwr9
GitHub:https://github.com/gogs/gogs/releases/tag/v0.14.3
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。