Gogs，一款开源自托管的Git服务，近期被曝出存在高危远程命令注入漏洞（CVE-2024-56731）。该漏洞绕过了CVE-2024-39931补丁中的路径检查，允许已认证攻击者通过创建符号链接来重写`.git`目录下的文件，最终实现远程命令执行。此漏洞利用难度低，影响Gogs版本低于0.13.3。建议用户立即升级至0.13.3或更高版本，或通过在`app.ini`文件中关闭用户注册功能进行缓解。

📌 **Gogs远程命令注入漏洞（CVE-2024-56731）**: Gogs，一款流行的开源自托管Git服务，存在一个严重的安全漏洞。该漏洞允许已获得身份验证的攻击者利用符号链接绕过安全检查，进而执行任意远程命令。

🔍 **漏洞绕过与利用方式**: 此漏洞的出现是由于先前针对CVE-2024-39931的补丁未能完全阻止攻击。攻击者可以通过创建特殊的符号链接，指向`.git`目录下的关键文件，从而实现对这些文件的篡改，最终达到执行恶意命令的目的。

🚨 **高危风险与影响范围**: 该漏洞被评定为高危，评分高达9.9，且利用难度较低，普通用户权限即可触发。其影响范围包括所有低于0.13.3版本的Gogs实例。

🛡️ **防护与修复建议**: 赛博昆仑CERT建议受影响的用户立即将Gogs升级到0.13.3或更高版本。作为临时缓解措施，可以考虑在Gogs的`app.ini`配置文件中将`[auth]DISABLE_REGISTRATION`设置为`true`，以关闭用户注册功能，并重启Gogs服务。

2025-06-26 17:55 广东

Gogs 远程命令注入漏洞风险通告

漏洞描述

    Gogs 是一款开源的自托管 Git 服务，它提供了简单易用的 Web 界面，帮助用户轻松管理代码仓库，支持多种认证方式和权限管理，适用于个人开发者及团队协作。

    赛博昆仑CERT监测到Gogs 远程命令注入漏洞(CVE-2024-56731)， CVE-2024-39931 的补丁中仅添加了对路径是否为 .git 目录的检查可以通过创建符号链接进行绕过，经过身份认证的攻击者可通过创建符号链接，进而重写 .git 目录下的任意文件，最终实现远程命令执行

漏洞名称	Gogs 远程命令执行漏洞
漏洞公开编号	CVE-2024-56731
昆仑漏洞库编号	CYKL-2024-038130
漏洞类型	命令执行	公开时间	2025年6月24日
漏洞等级	高危	评分	9.9
漏洞所需权限	普通用户权限	漏洞利用难度	低
PoC状态	未知	EXP状态	未知
漏洞细节	未知	在野利用	未知

影响范围

Gogs < 0.13.3

漏洞复现

目前，赛博昆仑CERT已复现Gogs 远程命令注入漏洞

防护措施

缓解措施

在 Gogs 配置文件 app.ini 中关闭用户注册功能，修改后重启 Gogs 服务

[auth]

DISABLE_REGISTRATION = true

修复建议

    目前官方已有可更新版本，建议受影响用户升级至最新版本：

    Gogs >= 0.13.3

    官方补丁下载地址：

    https://github.com/gogs/gogs/releases/tag/v0.13.3

技术业务咨询

赛博昆仑支持对用户提供轻量级的检测规则或热补方式，可提供定制化服务适配多种产品及规则，帮助用户进行漏洞检测和修复。

赛博昆仑CERT已开启年订阅服务，付费客户(可申请试用)将获取更多技术详情，并支持适配客户的需求。

联系邮箱：cert@cyberkl.com

公众号：赛博昆仑CERT

时间线

    2025年06月26日，赛博昆仑CERT发布漏洞风险通告

阅读原文

跳转微信打开