312/69 (IT) ประจำวันพุธที่ 10 มิถุนายน 2569
Gogs ออกแพตช์แก้ไขช่องโหว่ Zero-Day ระดับ Critical ที่ยังไม่ได้รับการกำหนดหมายเลข CVE โดยเป็นช่องโหว่แบบ Argument Injection ซึ่งอาจเปิดทางให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลบนเซิร์ฟเวอร์ที่ได้รับผลกระทบ ช่องโหว่ดังกล่าวกระทบ Gogs ทุกเวอร์ชันถึง 0.14.2 รวมถึง 0.15.0+dev และได้รับการแก้ไขแล้วในเวอร์ชัน 0.14.3
รายงานระบุว่า ผู้โจมตีที่มีบัญชีผู้ใช้ทั่วไป โดยไม่จำเป็นต้องมีสิทธิ์ผู้ดูแลระบบ สามารถใช้ประโยชน์จากช่องโหว่เพื่อเข้าถึง repository ทั้งแบบสาธารณะและส่วนตัว ขโมยข้อมูลสำคัญ แก้ไข source code หรือใช้เป็นจุดเริ่มต้นในการเคลื่อนย้ายไปยังระบบอื่นในเครือข่ายได้ อย่างไรก็ตาม หากระบบใช้ค่าเริ่มต้นที่เปิดให้ลงทะเบียนบัญชีใหม่และไม่จำกัดจำนวน repository ที่ผู้ใช้สร้างได้ ผู้โจมตีอาจสร้างบัญชีและ repository ของตนเองเพื่อดำเนินการโจมตีได้
ผู้ดูแลระบบที่ใช้งาน Gogs ควรเร่งอัปเดตเป็นเวอร์ชัน 0.14.3 หรือใหม่กว่าโดยเร็ว หากยังไม่สามารถอัปเดตได้ทันที ควรปิดการลงทะเบียนผู้ใช้ใหม่ จำกัดสิทธิ์การสร้าง repository และตรวจสอบการตั้งค่า rebase merge ในแต่ละ repository เพื่อลดความเสี่ยงจากการถูกโจมตีผ่านช่องโหว่ดังกล่าว