CVE-2026-52813— Gogs 组织名称路径穿越导致Git钩子远程代码执行漏洞
获取后续新漏洞提醒登录后订阅
一、 漏洞 CVE-2026-52813 基础信息
漏洞信息
对漏洞内容有疑问?看看神龙的深度分析是否有帮助!
查看神龙十问 ↗ 尽管我们使用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性,但请您根据实际情况进行核实和判断。
Vulnerability Title
Gogs: Path Traversal in organization name results in RCE through Git hooks
来源: 美国国家漏洞数据库 NVD
Vulnerability Description
Gogs is an open source self-hosted Git service. Prior to 0.14.3, organization names containing path traversal sequences (../) are accepted by Gogs, and repositories under them are written to paths following these path traversals. This allows storing/retrieving data for repositories at arbitrary locations on the filesystem. By creating nested structure of Git repositories, one can overwrite the other's hooks configuration to result in Remote Code Execution (RCE). This vulnerability is fixed in 0.14.3.
来源: 美国国家漏洞数据库 NVD
CVSS Information
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
来源: 美国国家漏洞数据库 NVD
Vulnerability Type
相对路径遍历
来源: 美国国家漏洞数据库 NVD
受影响产品
二、漏洞 CVE-2026-52813 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
AI 生成 POC高级
未找到公开 POC。
登录以生成 AI POC三、漏洞 CVE-2026-52813 的情报信息
请登录查看更多情报信息。
CVE-2026-52813 其他参考 (4)
同批安全公告 · gogs · 2026-06-24 · 共 24 条
| CVE-2026-52806 | 9.9 CRITICAL | Gogs 通过拉取请求合并中的 git rebase --exec 参数注入实现远程代码执行 |
| CVE-2026-52798 | 8.9 HIGH | Gogs 在 `.ipynb` 预览中存在存储型 XSS 漏洞 |
| CVE-2026-52800 | 8.8 HIGH | Gogs CSRF导致组织所有者被接管漏洞 |
| CVE-2026-52805 | 8.7 HIGH | Gogs 迁移重定向绕过导致内部仓库泄露 |
| CVE-2026-52797 | 8.5 HIGH | Gogs 关键文件覆盖导致拒绝服务漏洞 |
| CVE-2026-47267 | 8.3 HIGH | Gogs webhook交付功能服务器端请求伪造漏洞 |
| CVE-2026-52801 | 8.1 HIGH | Gogs 通过镜像设置导入本地仓库功能 |
| CVE-2026-52799 | 7.5 HIGH | Gogs 附件下载缺少授权漏洞 |
| CVE-2026-52808 | 7.1 HIGH | Gogs 协作方可通过API篡改管理员专属仓库设置 |
| CVE-2026-52809 | 6.8 MEDIUM | Gogs 密码重置令牌复用账号激活有效期 |
| CVE-2026-52802 | 5.4 MEDIUM | Gogs 通过 redirect_to 实现开放重定向漏洞 |
| CVE-2025-64719 | 4.9 MEDIUM | Gogs 仓库/维基文件列表拒绝服务漏洞 |
| CVE-2026-52795 | 4.3 MEDIUM | Gogs Watch API授权绕过允许监控私有仓库 |
| CVE-2026-52796 | 3.5 LOW | Gogs 在渲染问题索引模式时存在拒绝服务漏洞 |
| CVE-2026-52814 | Gogs SSH握手不对称拒绝服务漏洞 | |
| CVE-2026-52810 | Gogs 利用 receive-pack 和 service=git-upload-pack 混淆向只读仓库写入 | |
| CVE-2026-52812 | Gogs LFS去重路径泄露私有仓库内容 | |
| CVE-2026-52807 | Gogs 里程碑名称DOM型XSS漏洞 | |
| CVE-2026-52804 | Gogs 协作访问模式验证缺陷导致权限提升 | |
| CVE-2026-52815 | Gogs API未授权组织团队信息泄露漏洞 |
显示前 20 条,共 24 条。 查看全部 → →
IV. Related Vulnerabilities
V. Comments for CVE-2026-52813
暂无评论