**Gogs**, konzipiert als Alternative zu **GitHub Enterprise** oder **GitLab** und in Go geschrieben, wird oft online für die Fernkollaboration exponiert. Dies macht es zu einem Hauptziel für Angreifer. ### Die Schwachstelle Diese kritische Sicherheitslücke bei der Argumenteneinspritzung hat noch keine **CVE**-ID erhalten. Sie betrifft die neuesten Release-Versionen (**Gogs 0.14.2** und **0.15.0+dev**). Laut **Rapid7** Senior Security Researcher **Jonah Burgess** betrifft die Schwachstelle alle **Gogs**-Server mit Standardkonfigurationen. "Da **Gogs** standardmäßig mit offener Registrierung (DISABLE_REGISTRATION = false) und ohne Begrenzung der Repository-Erstellung (MAX_CREATION_LIMIT = -1) ausgeliefert wird, kann ein unauthentifizierter Angreifer einfach ein Konto und ein Repository auf jeder standardmäßig konfigurierten Instanz erstellen", warnte **Burgess**. Im Wesentlichen wird jeder registrierte Benutzer, der ein Repository erstellt, automatisch dessen Eigentümer. Die Aktivierung von Rebase-Merging ist eine einfache Umschaltoption in den Einstellungen, die es ermöglicht, die gesamte Exploit-Kette ohne weitere Benutzerinteraktion auszuführen. ### Auswirkungen Eine erfolgreiche Ausnutzung ermöglicht es Angreifern, beliebigen Code remote als Benutzer des **Gogs**-Serverprozesses auszuführen. Dies geschieht durch Pull-Requests, die einen bösartigen Branch-Namen verwenden, um das `--exec`-Flag in `git rebase` während des Vorgangs "Rebase before merging" einzuschleusen. Angreifer können diese Schwachstelle nutzen, um: * den Server zu kompromittieren. * jedes Repository auf der Instanz zu lesen (einschließlich privater Repos anderer Benutzer). * Anmeldeinformationen (Passworthashes, API-Tokens, SSH-Schlüssel, 2FA-Geheimnisse) auszulesen. * sich in andere netzwerkzugängliche Systeme zu bewegen. * den Code jedes gehosteten Repositorys zu ändern. **Burgess** merkt an, dass diese Schwachstelle anderen Argumenteneinspritzungsfehlern ähnelt (z. B. **CVE-2024-39933**, **CVE-2024-39932**, **CVE-2026-26194** und **CVE-2024-39930**), die zuvor von **Gogs** behoben wurden, aber einen anderen Code-Pfad (`Merge()`) betreffen, der ungepatcht bleibt. ### Fehlender Patch und Exposition Der Forscher meldete die Sicherheitslücke am 17. März den **Gogs**-Maintainern. Obwohl die Meldung am 28. März bestätigt wurde, wurde kein Patch veröffentlicht und es gab keine Status-Updates. **Shadowserver** verfolgt derzeit über 2.400 exponierte **Gogs**-Server online, mit einer signifikanten Konzentration in Asien (1.894) und Europa (319). **Shodan** identifiziert etwas mehr als 1.000 IP-Adressen mit einem **Gogs**-Fingerabdruck.  *Gogs-Server online exponiert (ShadowServer)* ### Frühere Schwachstellen Im Dezember hat das **Gogs**-Sicherheitsteam eine weitere **Gogs** RCE-Schwachstelle (**CVE-2025-8110**) gepatcht, die in Zero-Day-Angriffen ausgenutzt wurde, um Hunderte von Servern zu kompromittieren. **Wiz**-Sicherheitsforscher, die diese Lücke meldeten, hoben die weit verbreitete Konfiguration "Open Registration" hervor, die eine erhebliche Angriffsfläche schafft. **Wiz Research** entdeckte **CVE-2025-8110** bei der Untersuchung eines exponierten **Gogs**-Servers im Internet. Nach der Meldung der Schwachstelle im Juli wurden Anfang Januar Patches veröffentlicht. Am 12. Januar bestätigte die **CISA** die aktive Ausnutzung von **CVE-2025-8110** und fügte sie ihrem Katalog bekannter ausgenutzter Schwachstellen hinzu. Bundesbehörden (Federal Civilian Executive Branch - FCEB) wurden verpflichtet, ihre Server bis zum 2. Februar zu sichern. "Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyberakteure und birgt erhebliche Risiken für die föderale Infrastruktur", warnte die **CISA**.