ศูนย์ประสานการรักษาความมั่นคงปลอดภัยไซเบอร์ ด้านความมั่นคงของรัฐฝ่ายพลเรือน

ภาพรวมแท็กนี้

1 ข่าว

Gogs ช่องโหว่ RCE ระดับวิกฤต CVSS 9.4 — ผู้ใช้ที่ล็อกอินทุกคนสั่งรันโค้ดบนเซิร์ฟเวอร์ได้ ยังไม่มีแพตช์

Gogs critical RCE vulnerability git rebase argument injection
Rapid7 เปิดเผยช่องโหว่ RCE ระดับวิกฤต CVSS 9.4 ใน Gogs ระบบ Git โอเพนซอร์สแบบ self-hosted ยอดนิยม ผู้ใช้ที่ล็อกอินคนใดก็ได้สามารถสั่งรันโค้ดบนเซิร์ฟเวอร์ผ่านการ inject แฟลก –exec เข้าไปในคำสั่ง git rebase ตอน merge ช่องโหว่นี้ยังไม่มีแพตช์แม้แจ้งผู้พัฒนาตั้งแต่มีนาคม 2569 มีเซิร์ฟเวอร์เปิดสู่อินเทอร์เน็ตอย่างน้อย 1,141 เครื่องที่เสี่ยง