มีการเปิดเผยช่องโหว่ด้านความปลอดภัยระดับวิกฤตใน Gogs ซึ่งเป็นบริการ Git แบบโอเพนซอร์สสำหรับโฮสต์เองที่ได้รับความนิยม ช่องโหว่ดังกล่าวทำให้ผู้ใช้ที่ผ่านการยืนยันตัวตนแล้วสามารถ execute โค้ดที่กำหนดเองบนเซิร์ฟเวอร์ได้ภายใต้บางเงื่อนไข ซึ่งเป็นภัยคุกคามที่ร้ายแรงมากต่อโครงสร้างพื้นฐานขององค์กร

ทีมวิจัยของ Rapid7 ได้ประเมินความรุนแรงของช่องโหว่นี้ไว้ที่ 9.4 จากคะแนนเต็ม 10 ตามระบบ CVSS แม้ว่าตอนนี้ยังไม่มีการกำหนดหมายเลข CVE ให้กับปัญหานี้ก็ตาม โดยช่องโหว่นี้ช่วยให้ผู้โจมตีสามารถบรรลุเป้าหมายในการโจมตีแบบ Remote Code Execution (RCE) ได้ หมายความว่าพวกเขาไม่จำเป็นต้องมีสิทธิ์ระดับ admin ก็สามารถควบคุมระบบได้

การเกิดช่องโหว่นี้ส่งผลกระทบโดยตรงต่อองค์กรที่ใช้ Gogs ในการจัดการซอร์สโค้ดภายใน หากผู้ใช้ที่มีบัญชีในระบบมีเจตนาไม่ดีหรือบัญชีถูกโจมตีแทรกซึม พวกเขาอาจใช้ช่องโหว่นี้เพื่อขยายสิทธิ์การเข้าถึง (Privilege Escalation) และควบคุมเซิร์ฟเวอร์ทั้งเครื่องได้ ทำให้ข้อมูลล้ำค่าและซอร์สโค้ดของบริษัทตกเป็นเป้าหมายของการโจมตีได้ง่าย

คำศัพท์เทคนิคที่น่าสนใจ

• RCE (Remote Code Execution) – การโจมตีที่ทำให้ผู้โจมตีสามารถรันคำสั่งหรือโค้ดที่กำหนดเองบนเซิร์ฟเวอร์เป้าหมายได้จากระยะไกล
• CVSS (Common Vulnerability Scoring System) – ระบบการให้คะแนนเพื่อประเมินความรุนแรงของช่องโหว่ด้านความปลอดภัย โดยมีคะแนนตั้งแต่ 0.0 ถึง 10.0
• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อมาตรฐานสากลที่ใช้ระบุช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก
• Self-hosted Git Service – บริการจัดการซอร์สโค้ดแบบ Git ที่องค์กรสามารถติดตั้งและเรียกใช้งานบนเซิร์ฟเวอร์ของตัวเองแทนที่จะใช้บริการคลาวด์

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html