Gogs 远程命令执行漏洞

Gogs (Go Git Service) 是一款基于 Go 语言开发的开源 Git 托管平台，采用 MIT 许可证，提供代码托管、Issue 跟踪、权限管理和 Webhook 等功能。
2025年12月，长亭安全应急响应中心监测到Gogs存在远程命令执行零日漏洞（CVE-2025-8110）。经分析，拥有用户权限的攻击者可利用该漏洞执行任意系统命令，由于Gogs默认配置下启用了开放注册功能，导致利用难度较低，目前已发现在野利用，建议受影响的用户尽快修复。

命令执行漏洞可能导致攻击者在服务器上执行任意命令，获取敏感数据、破坏系统文件、窃取用户凭证、进行拒绝服务攻击等。此外，攻击者还可能利用该漏洞进行权限提升，进一步控制整个服务器或网络。

临时缓解方案

1. 禁用用户注册功能，在 Gogs 的配置文件 app.ini 中关闭用户注册功能，防止攻击者通过注册恶意账户进行利用：
   [auth]
   DISABLE_REGISTRATION = true
   生效方式：修改后需重启 Gogs 服务。