つみかさね

CVE-2026-52813

Critical(9)

CVE-2026-52813 — Gogs 組織名パストラバーサルによるGitフックRCE

公開日: 2026-06-24データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
Gogsgogs.io< 0.14.3

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1現在使用しているGogsのバージョンを確認する(v0.14.3未満であれば影響を受ける)
  2. 2Gogs v0.14.3以降にアップデートする
  3. 3アップデートが困難な場合は、外部からのアクセスを制限する

影響対象

Gogs v0.14.3未満を運用しているすべての利用者

補足

  • -同バージョンで19件の脆弱性が修正されているため、早急なアップデートを推奨します
CVEGogsRCEパストラバーサルGitGo

概要

Gogsの組織名にパストラバーサル文字を含めることで、Gitフックの配置先ディレクトリを操作でき、サーバ上で任意コードを実行できる可能性があります。本脆弱性はGHSAによりCriticalに分類されています。

Gogsはセルフホスト型のGitサービスで、小規模チームや個人開発者が自社サーバ上で運用するケースが多いため、外部からのアクセスが可能な環境では特に注意が必要です。

CVSSベクトル

GHSAではCriticalと評価されています(数値スコアは非公開)。脆弱性の性質から、以下の攻撃条件が推定されます。

項目内容
攻撃経路ネットワーク経由
攻撃複雑度
必要権限低(組織作成権限)
ユーザ操作不要
影響範囲サーバ全体

影響を受けるソフトウェア

製品ベンダー影響バージョン
Gogsgogs.io< 0.14.3

修正バージョンと対応方法

修正バージョン: Gogs v0.14.3

  1. 現在使用しているGogsのバージョンを確認する
  2. v0.14.3以降にアップデートする
  3. 即時アップデートが困難な場合は、外部からの組織作成機能へのアクセスを制限することを検討する

関連リンク

データソース: GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-52806Gogs git rebase 引数インジェクションによるRCECVSS 9CVE-2026-52811Gogs シンボリックリンクによるリポジトリ外ファイル書き込みCVSS 9CVE-2026-52800Gogs CSRF によるオーガナイゼーションオーナー乗っ取りCVSS 7.5

参考リンク

GHSA:https://github.com/gogs/gogs/security/advisories/GHSA-c39w-43gm-34h5
GitHub:https://github.com/gogs/gogs/releases/tag/v0.14.3
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。