**Gogs** hat einen Patch für eine kritische Zero-Day-Sicherheitslücke veröffentlicht, die es Angreifern ermöglichen könnte, im Internet exponierte Instanzen zu kompromittieren und auf alle Repositories, einschließlich privater, zuzugreifen. Diese Schwachstelle zur Argument-Injektion, für die noch keine CVE-ID zugewiesen wurde, kann von authentifizierten Angreifern ohne Administratorrechte ausgenutzt werden. Angreifer, die diese Schwachstelle ausnutzen, können den Zielserver kompromittieren, private Repositories lesen, Anmeldedaten stehlen, sich lateral im Netzwerk bewegen und gehosteten Quellcode verändern. ### Ausnutzungspfad **Rapid7**-Sicherheitsforscher **Jonah Burgess**, der die Schwachstelle entdeckte und meldete, betonte, dass sie alle **Gogs**-Server mit Standardkonfigurationen betrifft, obwohl für die Ausnutzung grundlegende Benutzerprivilegien erforderlich sind. "Da **Gogs** standardmäßig mit offener Registrierung (DISABLE_REGISTRATION = false) und ohne Begrenzung der Repository-Erstellung (MAX_CREATION_LIMIT = -1) ausgeliefert wird, kann ein nicht authentifizierter Angreifer einfach ein Konto und ein Repository auf jeder standardmäßig konfigurierten Instanz erstellen", warnte **Burgess** zwei Wochen vor der Veröffentlichung des Patches. Er erklärte weiter: "Jeder registrierte Benutzer, der ein Repository erstellt, ist automatisch dessen Eigentümer. Von dort aus ist die Aktivierung des Rebase-Merges eine einzige Umschaltung in den Einstellungen, und die gesamte Exploit-Kette kann ohne Interaktion eines anderen Benutzers durchgeführt werden." ### Patch und Abhilfemaßnahmen Am Wochenende, 10 Tage nachdem **Rapid7** die Schwachstelle aufgrund mangelnder Reaktion auf mehrere Status-Updates öffentlich gemacht hatte, veröffentlichten die **Gogs**-Maintainer am 7. Juni die Version 0.14.3 zur Behebung dieser Lücke und forderten eine CVE-ID an. **Rapid7** empfiehlt dringend allen **Gogs**-Benutzern, sofort ein Upgrade durchzuführen. Die Korrektur wurde über den Pull Request #8301 implementiert. Für Benutzer, die ihre **Gogs**-Instanzen nicht sofort patchen können, teilte **Rapid7** kritische Abhilfemaßnahmen mit: * **Benutzerregistrierung einschränken**: Setzen Sie `DISABLE_REGISTRATION = true` in `app.ini`, um zu verhindern, dass nicht vertrauenswürdige Benutzer Konten erstellen. Dies ist die wirkungsvollste Abhilfemaßnahme, da der Exploit in einem einzelnen Benutzer-Repository in sich abgeschlossen ist. * **Repository-Erstellung einschränken**: Setzen Sie `MAX_CREATION_LIMIT = 0` in `app.ini`, um zu verhindern, dass Benutzer ihre eigenen Repositories erstellen. Dies kann auch pro Benutzer über "Max Repo Creation" im Admin-Panel eingestellt werden. Dies blockiert zwar den einfachsten Angriffspfad, verhindert aber nicht die Ausnutzung durch Benutzer mit Schreibzugriff auf bestehende Repositories. * **Rebase-Merge-Einstellungen prüfen**: Das Deaktivieren von "Rebase before merging" pro Repository unter Settings > Advanced ist eine Option, aber keine wirksame Verteidigung gegen einen bösartigen Benutzer, der ein Repository besitzt oder Administratorzugriff darauf hat, da dieser Rebase nach Belieben wieder aktivieren kann. ### Weitreichende Exposition **Gogs** wurde in Go geschrieben und als Alternative zu **GitHub Enterprise** oder **GitLab** konzipiert. Es wird häufig als Plattform für die Fernkollaboration online exponiert. Der Internet-Sicherheitswächter **Shadowserver** erfasst derzeit über 2.300 im Internet exponierte **Gogs**-Server, die Mehrheit davon in Asien (1.839) und Europa (312). Separat listet **Shodan** etwas mehr als 1.000 IP-Adressen mit einem **Gogs**-Fingerabdruck auf.  ### Ein Muster von Fehlern **Burgess** stellte fest, dass diese neueste Schwachstelle anderen Argument-Injektions-Schwachstellen sehr ähnlich ist, die das **Gogs**-Sicherheitsteam in den letzten Jahren behoben hat, darunter **CVE-2024-39933**, **CVE-2024-39932**, **CVE-2026-26194** und **CVE-2024-39930**. Diese neue Schwachstelle betrifft jedoch einen anderen Code-Pfad (`Merge()`), der zuvor nicht behoben worden war. Anfang Dezember 2026 patchte **Gogs** eine weitere RCE-Schwachstelle, **CVE-2025-8110**, nachdem sie aktiv in Zero-Day-Angriffen ausgenutzt wurde, um Hunderte von Servern zu kompromittieren. **Wiz**-Sicherheitsforscher, die diese Schwachstelle meldeten, erklärten: "Viele dieser Instanzen sind standardmäßig mit 'Open Registration' konfiguriert, was eine massive Angriffsfläche schafft." Am 12. Januar 2026 bestätigte die **CISA**, dass **CVE-2025-8110** in freier Wildbahn missbraucht wurde, und fügte sie ihrem Katalog der aktiv ausgenutzten Schwachstellen hinzu. Die **CISA** wies die Behörden des Federal Civilian Executive Branch (FCEB) an, ihre Server innerhalb von drei Wochen, bis zum 2. Februar, zu sichern. "Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und stellt erhebliche Risiken für das föderale Unternehmen dar", warnte die **CISA** damals.