つみかさね

CVE-2026-52811

Critical(9)

CVE-2026-52811 — Gogs シンボリックリンクによるリポジトリ外ファイル書き込み

公開日: 2026-06-24データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Gogsgogs.io< 0.14.3

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1現在使用しているGogsのバージョンを確認する(v0.14.3未満であれば影響を受ける)
  2. 2Gogs v0.14.3以降にアップデートする
  3. 3アップデートが困難な場合は、ファイルアップロード機能へのアクセスを制限する

影響対象

Gogs v0.14.3未満を運用しているすべての利用者

補足

  • -同バージョンで19件の脆弱性が修正されているため、早急なアップデートを推奨します
CVEGogsパストラバーサルファイル書き込みシンボリックリンクGo

概要

Gogsのファイルアップロード機能(UploadRepoFiles)において、コミット済みの親シンボリックリンクを悪用することでリポジトリの作業ディレクトリ外にファイルを書き込める脆弱性です。サーバ上の任意のファイルを上書きできる可能性があり、設定ファイルや認証情報ファイルの改ざんなどにつながる恐れがあります。

CVSSベクトル

GHSAではCriticalと評価されています(数値スコアは非公開)。

項目内容
攻撃経路ネットワーク経由
攻撃複雑度
必要権限低(リポジトリへの書き込み権限)
ユーザ操作不要
影響範囲サーバ全体

影響を受けるソフトウェア

製品ベンダー影響バージョン
Gogsgogs.io< 0.14.3

修正バージョンと対応方法

修正バージョン: Gogs v0.14.3

  1. 現在使用しているGogsのバージョンを確認する(v0.14.3未満であれば影響を受ける)
  2. Gogs v0.14.3以降にアップデートする
  3. 即時アップデートが困難な場合は、ファイルアップロード機能へのアクセスを信頼できるユーザに限定することを検討する

関連リンク

データソース: GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-52813Gogs 組織名パストラバーサルによるGitフックRCECVSS 9CVE-2026-52806Gogs git rebase 引数インジェクションによるRCECVSS 9CVE-2026-52805Gogs マイグレーションリダイレクトバイパスによるリポジトリ窃取CVSS 7.5

参考リンク

GHSA:https://github.com/gogs/gogs/security/advisories/GHSA-89mr-xqfv-758m
GitHub:https://github.com/gogs/gogs/releases/tag/v0.14.3
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。