**Gogs**, diseñado como una alternativa a **GitHub Enterprise** o **GitLab** y escrito en Go, a menudo se expone en línea para la colaboración remota. Esto lo convierte en un objetivo principal para los atacantes. ### La Vulnerabilidad Esta falla de seguridad de inyección de argumentos de severidad crítica aún no ha recibido un ID **CVE**. Impacta las últimas versiones lanzadas (**Gogs 0.14.2** y **0.15.0+dev**). Según **Jonah Burgess**, investigador principal de seguridad de **Rapid7**, la vulnerabilidad afecta a todos los servidores **Gogs** con configuraciones predeterminadas. "Dado que **Gogs** viene con registro abierto habilitado por defecto (DISABLE_REGISTRATION = false) y sin límite en la creación de repositorios (MAX_CREATION_LIMIT = -1), un atacante no autenticado puede simplemente crear una cuenta y un repositorio en cualquier instancia configurada por defecto", advirtió **Burgess**. Esencialmente, cualquier usuario registrado que crea un repositorio se convierte automáticamente en su propietario. Habilitar la fusión por rebase se convierte en un simple interruptor en la configuración, lo que permite que toda la cadena de exploit se ejecute sin más interacción del usuario. ### Impacto La explotación exitosa permite a los atacantes ejecutar código arbitrario de forma remota como el usuario del proceso del servidor **Gogs**. Esto se logra a través de solicitudes de extracción (pull requests) que utilizan un nombre de rama malicioso para inyectar el flag `--exec` en `git rebase` durante la operación "Rebase before merging" (Rebase antes de fusionar). Los atacantes pueden aprovechar esta falla para: * Comprometer el servidor. * Leer todos los repositorios en la instancia (incluidos los repositorios privados de otros usuarios). * Extraer credenciales (hashes de contraseñas, tokens de API, claves SSH, secretos de 2FA). * Pivotear a otros sistemas accesibles en la red. * Modificar el código de cualquier repositorio alojado. **Burgess** señala que esta vulnerabilidad es similar a otras fallas de inyección de argumentos (por ejemplo, **CVE-2024-39933**, **CVE-2024-39932**, **CVE-2026-26194** y **CVE-2024-39930**) abordadas previamente por **Gogs**, pero afecta a una ruta de código diferente (`Merge()`) que permanece sin parchear. ### Falta de Parche y Exposición El investigador informó la falla de seguridad a los mantenedores de **Gogs** el 17 de marzo. Si bien el informe fue reconocido el 28 de marzo, no se ha lanzado un parche y no se han proporcionado actualizaciones de estado. **Shadowserver** rastrea actualmente más de 2.400 servidores **Gogs** expuestos en línea, con una concentración significativa en Asia (1.894) y Europa (319). **Shodan** identifica poco más de 1.000 direcciones IP con una huella digital de **Gogs**.  *Servidores Gogs expuestos en línea (ShadowServer)* ### Vulnerabilidades Previas En diciembre, el equipo de seguridad de **Gogs** parcheó otra vulnerabilidad de RCE en **Gogs** (**CVE-2025-8110**) que fue explotada en ataques 0-day para comprometer cientos de servidores. Los investigadores de seguridad de **Wiz**, quienes informaron sobre esa falla, destacaron la configuración generalizada de "Open Registration" (Registro Abierto), que crea una superficie de ataque sustancial. **Wiz Research** descubrió **CVE-2025-8110** mientras investigaba un servidor **Gogs** expuesto a Internet comprometido. Después de informar la vulnerabilidad en julio, se lanzaron parches a principios de enero. El 12 de enero, **CISA** confirmó la explotación activa de **CVE-2025-8110** y la agregó a su catálogo de vulnerabilidades explotadas conocidas. Se ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que aseguraran sus servidores para el 2 de febrero. "Este tipo de vulnerabilidad es un vector de ataque frecuente para actores cibernéticos maliciosos y representa riesgos significativos para la empresa federal", advirtió **CISA**.