มีการเปิดเผยช่องโหว่ด้านความปลอดภัยระดับวิกฤติบน Gogs ซึ่งเป็นบริการ Git แบบโอเพนซอร์สสำหรับโฮสต์เองที่ได้รับความนิยม โดยช่องโหว่นี้อนุญาตให้ผู้ใช้ที่ผ่านการยืนยันตัวตนแล้วสามารถทำการรันโค้ด (Remote Code Execution) บนเซิร์ฟเวอร์ได้ภายใต้เงื่อนไขบางประการ

ทีมงานจาก Rapid7 ได้ทำการประเมินความรุนแรงของช่องโหว่นี้และให้คะแนนสูงถึง 9.4 จากคะแนนเต็ม 10 ตามระบบ CVSS ซึ่งจัดอยู่ในระดับวิกฤติ (Critical) อย่างไรก็ตาม ขณะนี้ช่องโหว่ดังกล่าวยังไม่มีการกำหนดหมายเลข CVE (Common Vulnerabilities and Exposures) อย่างเป็นทางการ

การเกิดปัญหานี้ถือเป็นภัยคุกคามที่ร้ายแรงมากสำหรับองค์กรที่ใช้งาน Gogs เนื่องจากแฮกเกอร์ที่มีเพียงบัญชีผู้ใช้ปกติบนระบบก็สามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อบังคับให้เซิร์ฟเวอร์ทำงานตามคำสั่งที่ไม่พึงประสงค์ ซึ่งอาจนำไปสู่การขโมยข้อมูล ติดตั้งมัลแวร์ หรือควบคุมระบบทั้งหมดได้ในที่สุด

คำศัพท์เทคนิคที่น่าสนใจ

• Remote Code Execution (RCE) – การโจมตีที่ทำให้ผู้โจมตีสามารถรันคำสั่งหรือโค้ดที่ไม่ได้รับอนุญาตบนระบบเป้าหมายจากระยะไกล
• CVSS (Common Vulnerability Scoring System) – ระบบการให้คะแนนเพื่อประเมินความรุนแรงของช่องโหว่ด้านความปลอดภัยทางคอมพิวเตอร์ โดยมีคะแนนตั้งแต่ 0.0 ถึง 10.0
• CVE (Common Vulnerabilities and Exposures) – ระบบการตั้งชื่อหรือรหัสอ้างอิงมาตรฐานสากลสำหรับช่องโหว่ด้านความปลอดภัยที่เป็นที่รู้จัก
• Self-hosted Git Service – บริการจัดเก็บและจัดการซอร์สโค้ดแบบ Git ที่องค์กรสามารถติดตั้งและเรียกใช้งานบนเซิร์ฟเวอร์ของตัวเองแทนที่จะใช้บริการบนคลาวด์

🔗 แหล่งที่มา: https://thehackernews.com/2026/05/critical-gogs-rce-vulnerability-lets.html