文章总结： Gogs自托管Git服务存在三个严重漏洞：CVE-2025-64111（CVSS9.3）允许攻击者通过篡改.git/config文件实现远程代码执行，源于之前补丁修复不充分；CVE-2025-64175（CVSS7.7）存在2FA恢复码跨账户绕过漏洞，攻击者可使用自己账户的恢复码绕过受害者双因素认证实现账户接管；CVE-2026-24135（CVSS7.2）是wiki更新功能中的路径遍历漏洞，允许认证用户通过操纵old_title参数删除服务器任意文件。所有漏洞已在0.13.4和0.14.0+dev版本中修复，强烈建议管理员立即升级。 综合评分： 85 文章分类： 漏洞分析,漏洞预警,代码审计,安全运营,应用安全

GOGS 严重缺陷（CVSS 9.3）允许远程代码执行和绕过双因素认证

sec随谈 sec随谈

sec随谈

2026年2月10日 08:46 中国香港

Gogs，这款以轻量级著称的热门自托管 Git 服务，近日被发现存在三重安全 漏洞。这些漏洞分别被追踪为 CVE-2025-64111、CVE-2025-64175 和 CVE-2026-24135，会使 Gogs 的安装面临一系列攻击风险，包括远程代码执行和账户完全接管。

其中最严重的漏洞是 CVE-2025-64111，其 CVSS 评分为 9.3。该漏洞允许攻击者通过篡改存储库的配置文件来执行远程命令。

该问题源于之前漏洞的“补丁不足”。安全公告解释说： “攻击者仍然可以更新 .git 目录中的文件，从而实现远程命令执行。”通过绕过UpdateRepoFile 函数中的安全检查，攻击者可以通过 API 修改 .git/config 文件，将一次普通的仓库更新变成系统入侵。

第二个漏洞CVE-2025-64175 (CVSS 7.7) 直接影响用户身份验证的核心。在 0.13.3 及更早版本中，Gogs 未能正确地将双因素身份验证 (2FA) 恢复码限定到特定用户。

该公告警告说： “如果攻击者知道受害者的用户名和密码，他们可以使用任何未使用的恢复代码（例如，来自他们自己的帐户）来绕过受害者的双因素身份验证。 ”

这种“跨账户绕过”使得双因素身份验证 (2FA) 对拥有被盗凭证的攻击者来说实际上毫无用处，从而允许完全接管账户。

第三个漏洞是 CVE-2026-24135 (CVSS 7.2)，它是 wiki 更新功能中的一个路径遍历漏洞。该漏洞允许已认证用户在重命名操作期间通过篡改 old_title 参数来删除服务器上的任意文件。

“os.Remove 函数将解析相对于 wiki 本地目录的路径，并删除目标文件，”该公告指出。

虽然该漏洞在一定程度上受到文件扩展名的限制（它会在目标文件名后附加 .md），但其影响仍然可能很大，导致拒绝服务或关键文档丢失。

维护人员已在更新版本中解决了这些问题。

• CVE-2025-64175（2FA绕过）和CVE-2026-24135（文件删除）已在0.13.4和0.14.0+dev版本中修复。

强烈建议 Gogs 管理员立即升级到最新版本，以堵住这些漏洞，防止其被利用。

参考链接：

https://github.com/gogs/gogs/security/advisories/GHSA-jp7c-wj6q-3qf2

https://github.com/gogs/gogs/security/advisories/GHSA-p6x6-9mx6-26wj

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：sec随谈 sec随谈 sec随谈《GOGS 严重缺陷（CVSS 9.3）允许远程代码执行和绕过双因素认证》