O **Gogs** lançou um patch para uma falha crítica de segurança zero-day que poderia permitir que atacantes comprometessem instâncias expostas à internet e acessassem quaisquer repositórios, incluindo os privados. Esta vulnerabilidade de injeção de argumento, que ainda não recebeu um ID CVE, pode ser explorada por atacantes autenticados sem privilégios de administrador. Atacantes que exploram essa falha podem comprometer o servidor alvo, ler repositórios privados, roubar credenciais, mover-se lateralmente dentro da rede e alterar o código-fonte hospedado. ### Caminho de Exploração O pesquisador de segurança da **Rapid7**, **Jonah Burgess**, que descobriu e relatou a falha, destacou que ela afeta todos os servidores **Gogs** com configurações padrão, apesar de exigir privilégios básicos de usuário para exploração. "Como o **Gogs** vem com registro aberto habilitado por padrão (DISABLE_REGISTRATION = false) e sem limite para criação de repositórios (MAX_CREATION_LIMIT = -1), um atacante não autenticado pode simplesmente criar uma conta e um repositório em qualquer instância configurada por padrão", alertou **Burgess** duas semanas antes do lançamento do patch. Ele explicou ainda: "Qualquer usuário registrado que cria um repositório é automaticamente seu proprietário. A partir daí, habilitar a mesclagem por rebase é uma única opção nas configurações, e toda a cadeia de exploração pode ser operada sem interação de qualquer outro usuário." ### Patch e Mitigação Durante o fim de semana, 10 dias após a **Rapid7** divulgar publicamente a vulnerabilidade devido à falta de resposta a várias atualizações de status, os mantenedores do **Gogs** lançaram a versão 0.14.3 em 7 de junho para corrigir essa falha e solicitaram um ID CVE. A **Rapid7** recomenda fortemente que todos os usuários do **Gogs** atualizem imediatamente. A correção foi implementada através do pull request #8301. Para usuários que não conseguem aplicar o patch em suas instâncias **Gogs** imediatamente, a **Rapid7** compartilhou medidas críticas de mitigação: * **Restringir o registro de usuários**: Defina `DISABLE_REGISTRATION = true` em `app.ini` para impedir que usuários não confiáveis criem contas. Esta é a mitigação mais impactante, pois o exploit é autônomo dentro do repositório de um único usuário. * **Restringir a criação de repositórios**: Defina `MAX_CREATION_LIMIT = 0` em `app.ini` para impedir que usuários criem seus próprios repositórios. Isso também pode ser definido por usuário através de "Max Repo Creation" no painel de administração. Embora isso bloqueie o caminho de ataque mais fácil, não impede a exploração por usuários com acesso de gravação a repositórios existentes. * **Auditar configurações de rebase merge**: Desabilitar "Rebase before merging" por repositório em Configurações > Avançado é uma opção, mas não é uma defesa eficaz contra um usuário malicioso que possui ou tem acesso de administrador a um repositório, pois ele pode reabilitar o rebase à vontade. ### Exposição Generalizada Escrito em Go e projetado como uma alternativa ao **GitHub Enterprise** ou **GitLab**, o **Gogs** é frequentemente exposto online como uma plataforma de colaboração remota. O observador de segurança da internet **Shadowserver** atualmente rastreia mais de 2.300 servidores **Gogs** expostos à internet, com a maioria localizada na Ásia (1.839) e Europa (312). Separadamente, o **Shodan** lista pouco mais de 1.000 endereços IP com uma impressão digital do **Gogs**.  ### Padrão de Falhas **Burgess** observou que essa última falha é muito semelhante a outras vulnerabilidades de injeção de argumento que a equipe de segurança do **Gogs** corrigiu nos últimos anos, incluindo **CVE-2024-39933**, **CVE-2024-39932**, **CVE-2026-26194** e **CVE-2024-39930**. No entanto, esta nova vulnerabilidade afeta um caminho de código diferente (`Merge()`) que não havia sido abordado anteriormente. No início de dezembro de 2026, o **Gogs** corrigiu outra vulnerabilidade RCE, **CVE-2025-8110**, após ser ativamente explorada em ataques zero-day para comprometer centenas de servidores. Pesquisadores de segurança da **Wiz**, que relataram essa falha, afirmaram: "Muitas dessas instâncias são configuradas com 'Open Registration' habilitado por padrão, criando uma superfície de ataque massiva." Em 12 de janeiro de 2026, a **CISA** confirmou que **CVE-2025-8110** estava sendo abusada em campo e a adicionou ao seu catálogo de vulnerabilidades ativamente exploradas. A **CISA** ordenou que as agências do Federal Civilian Executive Branch (FCEB) protegessem seus servidores em três semanas, até 2 de fevereiro. "Este tipo de vulnerabilidade é um vetor de ataque frequente para atores cibernéticos maliciosos e representa riscos significativos para a empresa federal", alertou a **CISA** na época.