**Gogs** ha lanzado un parche para una falla crítica de seguridad zero-day que podría permitir a los atacantes comprometer instancias expuestas a Internet y acceder a cualquier repositorio, incluidos los privados. Esta vulnerabilidad de inyección de argumentos, que aún no ha sido asignada a un ID CVE, puede ser explotada por atacantes autenticados sin privilegios de administrador. Los atacantes que aprovechen esta falla pueden comprometer el servidor objetivo, leer repositorios privados, robar credenciales, moverse lateralmente dentro de la red y alterar el código fuente alojado. ### Ruta de Explotación **Jonah Burgess**, investigador de seguridad de **Rapid7** que descubrió y reportó la falla, destacó que afecta a todos los servidores **Gogs** con configuraciones predeterminadas, a pesar de requerir privilegios de usuario básicos para la explotación. "Dado que **Gogs** viene con registro abierto habilitado por defecto (DISABLE_REGISTRATION = false) y sin límite en la creación de repositorios (MAX_CREATION_LIMIT = -1), un atacante no autenticado puede simplemente crear una cuenta y un repositorio en cualquier instancia configurada por defecto", advirtió **Burgess** dos semanas antes del lanzamiento del parche. Explicó además: "Cualquier usuario registrado que cree un repositorio es automáticamente su propietario. A partir de ahí, habilitar la fusión rebase es un solo cambio en la configuración, y toda la cadena de explotación puede operarse sin interacción de ningún otro usuario." ### Parche y Mitigación Durante el fin de semana, 10 días después de que **Rapid7** divulgara públicamente la vulnerabilidad debido a la falta de respuesta a múltiples actualizaciones de estado, los mantenedores de **Gogs** lanzaron la versión 0.14.3 el 7 de junio para parchear esta falla y solicitaron un ID CVE. **Rapid7** recomienda encarecidamente a todos los usuarios de **Gogs** que actualicen inmediatamente. La corrección se implementó a través de la pull request #8301. Para los usuarios que no puedan parchear sus instancias de **Gogs** de inmediato, **Rapid7** compartió medidas de mitigación críticas: * **Restringir el registro de usuarios**: Establecer `DISABLE_REGISTRATION = true` en `app.ini` para evitar que usuarios no confiables creen cuentas. Esta es la mitigación más impactante, ya que el exploit está contenido dentro del repositorio de un solo usuario. * **Restringir la creación de repositorios**: Establecer `MAX_CREATION_LIMIT = 0` en `app.ini` para evitar que los usuarios creen sus propios repositorios. Esto también se puede configurar por usuario a través de "Max Repo Creation" en el panel de administración. Si bien esto bloquea la ruta de ataque más fácil, no previene la explotación por parte de usuarios con acceso de escritura a repositorios existentes. * **Auditar la configuración de rebase merge**: Deshabilitar "Rebase before merging" por repositorio en Settings > Advanced es una opción, pero no es una defensa efectiva contra un usuario malintencionado que posea o tenga acceso de administrador a un repositorio, ya que pueden volver a habilitar el rebase a voluntad. ### Exposición Generalizada Escrito en Go y diseñado como una alternativa a **GitHub Enterprise** o **GitLab**, **Gogs** se expone con frecuencia en línea como una plataforma de colaboración remota. El organismo de vigilancia de seguridad de Internet **Shadowserver** rastrea actualmente más de 2.300 servidores **Gogs** expuestos a Internet, con la mayoría ubicados en Asia (1.839) y Europa (312). Por separado, **Shodan** lista poco más de 1.000 direcciones IP con una huella digital de **Gogs**.  ### Un Patrón de Fallas **Burgess** señaló que esta última falla es muy similar a otras vulnerabilidades de inyección de argumentos que el equipo de seguridad de **Gogs** ha parcheado en los últimos años, incluidas **CVE-2024-39933**, **CVE-2024-39932**, **CVE-2026-26194** y **CVE-2024-39930**. Sin embargo, esta nueva vulnerabilidad afecta a una ruta de código diferente (`Merge()`) que no se había abordado previamente. A principios de diciembre de 2026, **Gogs** parcheó otra vulnerabilidad RCE, **CVE-2025-8110**, después de que fuera explotada activamente en ataques zero-day para comprometer cientos de servidores. Los investigadores de seguridad de **Wiz**, quienes reportaron esa falla, declararon: "Muchas de estas instancias están configuradas con 'Open Registration' habilitado por defecto, creando una superficie de ataque masiva." El 12 de enero de 2026, **CISA** confirmó que **CVE-2025-8110** estaba siendo abusada en la naturaleza y la agregó a su catálogo de vulnerabilidades explotadas activamente. **CISA** ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aseguraran sus servidores en un plazo de tres semanas, para el 2 de febrero. "Este tipo de vulnerabilidad es un vector de ataque frecuente para actores cibernéticos maliciosos y representa riesgos significativos para la empresa federal", advirtió **CISA** en ese momento.