Gitサーバ「Gogs」にRCE脆弱性 - 過去修正不十分で再々発

Gitサーバ「Gogs」に深刻な脆弱性が判明した。過去に対応した脆弱性の修正が不十分だったという。

リポジトリ管理用API経由でディレクトリ内の設定ファイルを書き換えできる脆弱性「CVE-2025-64111」が明らかとなったもの。リモートからコマンドを実行されるおそれがある。

2025年6月に「CVE-2024-56731」へ対処しているが、当時の修正が不十分だったことに起因し、リポジトリ内ファイル更新機能「UpdateRepoFile」における安全性チェックに問題があり、依然として脆弱な状態にあることが判明したという。

CVE番号を採番したGitHubにおいて、共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.3」、重要度は4段階中もっとも高い「クリティカル（Critical）」とレーティングされている。

同脆弱性の判明を受けて、「同0.13.4」にて修正された。

原因となった脆弱性「CVE-2024-56731」に関しても、それ以前の「CVE-2024-39931」における対応不備によって発現している。CVSS3.1基本値は「CVE-2024-56731」が「10.0」、「CVE-2024-39931」が「9.9」と評価されていた。

（Security NEXT - 2026/02/10 ） ツイート

PR

関連記事

管理基盤「JetBrains Hub」に認証回避の深刻な脆弱性
「MS Edge」にアップデート - 脆弱性2件を解消
BeyondTrustのリモート管理製品に深刻な脆弱性 - 修正版を提供
「React Native CLI」や「SmarterMail」の脆弱性悪用に警戒を - ランサムでも
AI連携に用いる「GitLab AI Gateway」に脆弱性 - 早急に更新を
ウェブメール「Roundcube」にセキュリティ更新 - 脆弱性2件に対処
クライアント管理製品「FortiClientEMS」に深刻なSQLi脆弱性
Cisco、アドバイザリ5件を公開 - コラボアプリにDoSやRCE脆弱性
直近更新で修正された「OpenSSL」脆弱性、「クリティカル」との評価も
「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響