**Gogs**, conçu comme une alternative à **GitHub Enterprise** ou **GitLab** et écrit en Go, est souvent exposé en ligne pour la collaboration à distance. Cela en fait une cible de choix pour les attaquants. ### La Vulnérabilité Cette faille de sécurité critique d'injection d'arguments n'a pas encore reçu d'identifiant **CVE**. Elle affecte les dernières versions (**Gogs 0.14.2** et **0.15.0+dev**). Selon **Jonah Burgess**, chercheur principal en sécurité chez **Rapid7**, la vulnérabilité affecte tous les serveurs **Gogs** avec des configurations par défaut. « Étant donné que **Gogs** est livré avec l'enregistrement ouvert activé par défaut (DISABLE_REGISTRATION = false) et aucune limite sur la création de dépôts (MAX_CREATION_LIMIT = -1), un attaquant non authentifié peut simplement créer un compte et un dépôt sur n'importe quelle instance configurée par défaut », a averti **Burgess**. Essentiellement, tout utilisateur enregistré qui crée un dépôt en devient automatiquement le propriétaire. L'activation du rebase avant la fusion devient un simple interrupteur dans les paramètres, permettant à toute la chaîne d'exploit d'être exécutée sans autre interaction utilisateur. ### Impact L'exploitation réussie permet aux attaquants d'exécuter du code arbitraire à distance en tant qu'utilisateur du processus serveur **Gogs**. Ceci est réalisé grâce à des pull requests qui utilisent un nom de branche malveillant pour injecter le drapeau `--exec` dans `git rebase` lors de l'opération « Rebase avant la fusion ». Les attaquants peuvent exploiter cette faille pour : * Compromettre le serveur. * Lire tous les dépôts sur l'instance (y compris les dépôts privés d'autres utilisateurs). * Extraire des identifiants (hachages de mots de passe, jetons API, clés SSH, secrets 2FA). * Pivoter vers d'autres systèmes accessibles sur le réseau. * Modifier le code de tout dépôt hébergé. **Burgess** note que cette vulnérabilité est similaire à d'autres failles d'injection d'arguments (par exemple, **CVE-2024-39933**, **CVE-2024-39932**, **CVE-2026-26194**, et **CVE-2024-39930**) précédemment corrigées par **Gogs**, mais affecte un chemin de code différent (`Merge()`) qui reste non corrigé. ### Absence de Correctif et Exposition Le chercheur a signalé la faille de sécurité aux mainteneurs de **Gogs** le 17 mars. Bien que le rapport ait été reconnu le 28 mars, aucun correctif n'a été publié et aucune mise à jour de statut n'a été fournie. **Shadowserver** suit actuellement plus de 2 400 serveurs **Gogs** exposés en ligne, avec une concentration significative en Asie (1 894) et en Europe (319). **Shodan** identifie un peu plus de 1 000 adresses IP avec une empreinte **Gogs**.  *Serveurs Gogs exposés en ligne (ShadowServer)* ### Vulnérabilités Précédentes En décembre, l'équipe de sécurité de **Gogs** a corrigé une autre vulnérabilité RCE dans **Gogs** (**CVE-2025-8110**) qui a été exploitée dans des attaques zero-day pour compromettre des centaines de serveurs. Les chercheurs en sécurité de **Wiz**, qui ont signalé cette faille, ont souligné la configuration généralisée de « Enregistrement Ouvert », qui crée une surface d'attaque substantielle. **Wiz Research** a découvert **CVE-2025-8110** lors de l'enquête sur un serveur **Gogs** exposé sur Internet compromis. Après avoir signalé la vulnérabilité en juillet, des correctifs ont été publiés début janvier. Le 12 janvier, la **CISA** a confirmé l'exploitation active de **CVE-2025-8110** et l'a ajoutée à son catalogue de vulnérabilités connues et exploitées. Les agences du Federal Civilian Executive Branch (FCEB) ont été mandatées pour sécuriser leurs serveurs avant le 2 février. « Ce type de vulnérabilité est un vecteur d'attaque fréquent pour les acteurs malveillants et présente des risques importants pour l'entreprise fédérale », a averti la **CISA**.