### Vulnerabilidade RCE no Gogs: Uma Análise Profunda O pesquisador de segurança Jonah Burgess, da **Rapid7**, divulgou uma vulnerabilidade crítica no **Gogs**, um serviço Git auto-hospedado de código aberto. A falha permite que qualquer usuário autenticado alcance a execução remota de código (RCE) no servidor. A vulnerabilidade decorre da capacidade de injetar o flag `--exec` no `git rebase` durante a operação de 'Rebase antes de mesclar' (Rebase before merging) ao criar uma pull request com um nome de branch malicioso. A **Rapid7** classifica a vulnerabilidade em 9.4 no sistema de pontuação CVSS. ### Entendendo o Vetor de Ataque O ataque explora a funcionalidade `git rebase`, que integra alterações de um branch em outro. O flag `--exec` permite a execução de comandos de shell após cada commit ser reproduzido durante a operação de rebase. Importante, a exploração desta vulnerabilidade não requer privilégios administrativos ou qualquer interação de outros usuários. Um atacante pode simplesmente criar uma conta e um repositório em uma instância **Gogs** configurada por padrão para iniciar o ataque. Burgess explica: "Qualquer usuário registrado que cria um repositório é automaticamente seu proprietário. A partir daí, habilitar o rebase de mesclagem é um único botão nas configurações, e toda a cadeia de exploração pode ser operada sem interação de qualquer outro usuário." ### Cenário de Ataque Alternativo Em cenários onde o rebase de mesclagem já está habilitado em um repositório, um usuário com acesso de escrita pode explorar diretamente a falha para obter execução de código. No entanto, em instâncias **Gogs** onde a criação de repositórios é restrita, um atacante deve possuir acesso de escrita a um repositório com o rebase de mesclagem habilitado. ### Vulnerabilidade sem Patch e Impacto Potencial No momento desta escrita, a vulnerabilidade permanece sem patch, apesar de ter sido reportada ao mantenedor em 17 de março de 2026. A exploração bem-sucedida poderia permitir que um atacante: * Invadisse o servidor * Acessasse todos os repositórios na instância * Fizesse dump de credenciais * Realizasse movimentação lateral para outros sistemas acessíveis na rede * Alterasse o código de qualquer repositório hospedado Além disso, a vulnerabilidade poderia levar a uma violação de dados entre inquilinos (cross-tenant data breach), expondo repositórios privados de outros usuários hospedados no mesmo servidor. A falha afeta todas as plataformas suportadas, incluindo Windows, Linux e macOS. ### Estratégias de Mitigação Com uma estimativa de 1.141 instâncias **Gogs** expostas à internet, e muitas outras atrás de VPNs ou redes internas, o impacto potencial é significativo. Na ausência de um patch oficial, as seguintes mitigações são recomendadas: * Restringir o registro de usuários (`DISABLE_REGISTRATION = true` em `app.ini`) * Restringir a criação de repositórios (`MAX_CREATION_LIMIT = 0` em `app.ini`) * Auditar as configurações de rebase de mesclagem ### Módulo Metasploit Disponível A **Rapid7** lançou um módulo **Metasploit** que automatiza a cadeia de exploração contra alvos Linux e Windows. O módulo suporta dois modos: 1. Criação de um repositório temporário sob a conta do atacante, execução do exploit e exclusão do repositório. 2. Alvo em um repositório existente ao qual o atacante tem acesso de escrita e mesclagem. Burgess observa: "Quando o atacante cria e exclui seu próprio repositório, o único rastro é um HTTP 500 nos logs do servidor. Ao explorar um repositório existente, artefatos adicionais permanecem."