トップ/記事一覧/セルフホスト型Git『Gogs』に脆弱性6件、認証なしで乗っ取り可能、CVE-2026-52813ほかv0.14.3へ更新を
gogs-cve-cover-ja

セルフホスト型Git『Gogs』に脆弱性6件、認証なしで乗っ取り可能、CVE-2026-52813ほかv0.14.3へ更新を

自分のサーバーでソースコードを管理できる軽量なGitサービス『Gogs』に、脆弱性が6件見つかりました。最も深刻なCVE-2026-52813は認証なしでサーバーを乗っ取れるCVSS10.0。ほかにコード実行や管理者権限の奪取も含まれます。0.14.3より前が対象で、この1回の更新でまとめて修正されます。自分でGogsを運用しているなら今すぐ更新を。

ニュース 本日更新
avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go

2026.06.258 min0 views
Share X B! Hatena LINE in LinkedIn RSS
この記事のポイント

自分のサーバーでソースコードを管理できる軽量なGitサービス『Gogs』に、脆弱性が6件見つかりました。最も深刻なCVE-2026-52813は認証なしでサーバーを乗っ取れるCVSS10.0。ほかにコード実行や管理者権限の奪取も含まれます。0.14.3より前が対象で、この1回の更新でまとめて修正されます。自分でGogsを運用しているなら今すぐ更新を。

自分のサーバーでソースコードを管理できる軽量なGitサービス「Gogs(ゴグス)」に、脆弱性(プログラムの欠陥)が6件まとめて見つかりました。最も深刻なCVE-2026-52813は、認証なしでサーバーを乗っ取れる10点満点中10.0(最高評価)です。

6件はいずれもGitHubが報告し、2026年6月24日に公開されました。修正は0.14.3に含まれています。本来書き込めない場所へファイルを書き込ませてサーバーを乗っ取るもの、ログインした利用者がコードを実行できるものなどが含まれ、自分でGogsを運用しているなら今すぐ更新が必要です。

Gogsとはどんなソフトか

Gogsは、プログラムのソースコードを保管・共有するためのGitサービスを、自分のサーバーで動かせるソフトです。GitHubの自前版のようなもので、リポジトリ(コードの保管庫)の管理、チームでの共同作業、変更履歴の追跡などができます。Go言語で作られていて非常に軽く、わずか64MBのメモリでも動くのが特徴で、2014年からオープンソース(MITライセンス)として公開されています。

手軽さから、社内や個人のサーバー、自宅サーバー(ホームラボ)でGitHubの代わりに使われています。コードという企業の中核資産を預かるソフトだけに、乗っ取られたときの影響は大きく、今回の6件はいずれも0.14.3で修正済みです。

誰が狙い、何をされ、どうなるのか

最も危険なCVE-2026-52813で狙われるのは、Gogsをネットワーク上で動かしているサーバー全般です。この欠陥はログインを必要とせず、サーバーに通信が届く位置にいる攻撃者なら誰でも仕掛けられます。とくに、誰でもアカウントを作れる設定で公開しているインスタンスは入口が広がります。

攻撃者がすることは、「../」のような上の階層へ移動する文字列を含む名前を悪用して、本来書き込めない場所へファイルを書き込ませ、最終的にGogsが動くサーバー上で任意のプログラムを実行させることです。残りの欠陥でも、ログインした利用者によるコード実行、管理者権限の奪取、内部ネットワークへの裏側接続などが起こり得ます。

サーバーを乗っ取られると、保管しているソースコードの抜き取りや改ざん、コードに不正な仕掛けを埋め込まれる供給網(サプライチェーン)汚染、さらに同じサーバーを足がかりにした侵入の拡大まで起こり得ます。開発の基盤が乗っ取られる影響は、その先で動くすべての製品に及びかねません。外部から取り込む部品やサービスの点検はOSS サプライチェーン スキャナーの考え方とあわせて見直す価値があります。実際に攻撃へ使われ始めた脆弱性はCISA KEV ダッシュボード(日本語版)で追えます。

6件の脆弱性の中身

深刻度の高い順に見ていきます。CVE-2026-52797のみ0.14.0で、それ以外は0.14.3で修正されています。

CVE-2026-52813:認証なしでサーバー乗っ取り(CVSS 10.0)

公開情報によると、組織(グループ)の名前に「../」を含む文字列を作れてしまい、入力チェックをすり抜けてリポジトリのデータを任意の場所へ書き込める欠陥です。Gitには、特定の操作のたびに自動で動く「フック」というスクリプトの仕組みがあります。攻撃者はリポジトリを巧妙に入れ子にしてこのフック設定を上書きし、認証も操作の誘導もなしに任意のプログラムを実行できます(GHSA-c39w-43gm-34h5)。10.0という最高評価が付いた、最優先で塞ぐべき欠陥です。

CVE-2026-52806:プルリクエストのブランチ名から命令を注入(CVSS 9.9)

この欠陥では、ログインした利用者が特殊なブランチ名を付けたプルリクエスト(変更の取り込み依頼)を作ると、取り込み処理で使うgitの命令に「--exec」という実行オプションが割り込み、サーバー上で任意のコードが実行されます(GHSA-qf6p-p7ww-cwr9)。

CVE-2026-52798:Jupyterノートブックのプレビューで保存型XSS(CVSS 8.9)

GogsはJupyterノートブック(.ipynb)のプレビュー表示で、サーバー側では無害化しているものの、その内容を画面側で再表示する際に無害化していませんでした。悪意あるノートブックに「javascript:」で始まるリンクを仕込むと、クリック時にスクリプトが動き、Gogs上で保存型XSS(不正スクリプトの埋め込み)が成立します。

CVE-2026-52800:罠リンクを踏ませて管理者権限を奪取(CVSS 8.8)

この欠陥は、組織のメンバー管理にCSRF(リクエスト偽造)対策がなく、GETリクエストだけで操作できた点にあります。攻撃者は、ログイン中の組織オーナーに細工したリンクを踏ませるだけで、攻撃者のアカウントをオーナーチームに追加し、組織の管理権限を丸ごと奪えます。

CVE-2026-52805:リポジトリ移行機能を悪用した内部への裏側接続(CVSS 8.7)

この欠陥は、リポジトリの移行(取り込み)機能が転送(リダイレクト)先を十分に確認しない点にあります。攻撃者は、最初は正規に見えて途中で内部の禁止アドレスへ転送するURLを指定し、内部リポジトリの中身を自分のリポジトリへ取り込めてしまいます(SSRF)。

CVE-2026-52797:git diffの細工で経路外への書き込み(CVSS 8.5)

この欠陥では、権限のある利用者がgitの差分表示(diff)コマンドに渡す値を細工し、フィルターをすり抜けて比較結果を任意の場所へ書き込めるとされています。こちらは0.14.0で修正済みです。

攻撃の前提と深刻度の早見表

6件は「ログインが必要か」「何を踏ませるか」が異なります。CVE-2026-52797以外は0.14.3で、52797は0.14.0で修正済みです。

CVE深刻度ログイン起こり得ること
5281310.0不要任意コード実行
(サーバー乗っ取り)
528069.9必要任意コード実行
527988.9必要保存型XSS
528008.8不要
(罠リンク)		管理者権限の奪取
528058.7必要内部への裏側接続
(SSRF)
527978.5必要経路外への書き込み

最優先はCVE-2026-52813です。認証なしでサーバーを乗っ取れるため、インターネットに公開しているインスタンスはとくに急いで対応してください。

いま取るべき対策

最優先は、Gogsを0.14.3以降へ更新することです。公式のリリースから最新版を入手してください。今回の6件はこの1回の更新でまとめて塞げます。

すぐに更新できない場合の緩和策として、次の点が有効です。誰でもアカウントを作れる設定(オープン登録)を一時的に止める、Gogsをインターネットに直接公開せず信頼できる利用者だけが届く範囲に接続を絞ること。あわせて、身に覚えのない組織・オーナー追加、不審なリポジトリやフックの変更、見慣れないファイルがないかを点検してください。乗っ取りが疑われる場合は、サーバーに保存している認証情報やアクセストークンを更新後に入れ替えるのが安全です。

まとめ

Gogsで見つかった6件は、最高評価のCVE-2026-52813(認証なしのサーバー乗っ取り)を筆頭に、コード実行・管理者権限の奪取・内部への裏側接続・XSSと多彩です。深刻度は8.5〜10.0、対象は0.14.3より前(52797は0.14.0より前)で、0.14.3で一括修正されています。

Gitサービスはソースコードという中核資産を預かるだけに、乗っ取られたときの被害はその先の製品にまで及びます。自分でGogsを運用しているなら、まずバージョンを確認し、古ければ今すぐ更新してください。Gogsに関する新たな脆弱性が出た場合は、本記事に追記して追っていきます。

参照元